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本 书 共 10 章 ,第 1 章 讲解 防火 墙 的 基础 理论 ,内 容 包括 防火 墙 概念 、. 分 类 、 功 能 及 防火 墙 的 相关 知识 
等 。 第 2 章 讲解 防火 墙 的 工作 原理 .具备 的 特性 及 常用 的 防火 墙 技术 等 。 第 3 章 讲 解 计算 机 操作 系统 如 
何 配置 系统 自 带 的 防火 墙 及 如 何 应 用 防火 墙 等 。 第 4 章 讲解 常用 著名 防火 墙 设置 和 管理 的 基本 操作 。 第 
5 章 讲 解 Red Hat Linux 系统 安全 及 Iptables 防火 墙 配置 。 第 6 章 讲解 Windows Server 2003 服务 器 防火 
墙 和 Windows 7 防火 墙 的 高 级 配置 。 第 7 章 讲 解 Windows Server 2008 R2 服务 器 的 安全 配置 。 第 8 章 讲 
解 ISA 网 络 防火 墙 的 应 用 操作 。 第 9 章 介绍 企业 级 防火 墙 TMG 的 部 署 。 第 10 章 讲解 项 目 实践 案例 , 虚 
拟 企业 的 网 络 安全 需求 功能 。 
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出 版 说 明 


由 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广 阔 的 前 景 ,可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 ,电子 银行 ,电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突出 ,非法 访问 、 信 息 窃 取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 ,数学 等 领域 的 交叉 学 科 , 主要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 全、 知识 覆盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 ,实践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 ,在 此 基础 上 提出 适合 我 国信 息 安 全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、 兼 具 研 究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 才 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 .课程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 .工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚 持 基 本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 、 能 力 、 素 质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教 材 建设 把 重点 放 在 专业 核心 (基础 ) 课 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核 心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 、 教 
学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 , 通 过 申报 、 评 审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 
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网 络 安全 问题 随 着 互联 网 的 发 展 与 电子 商务 的 盛行 变 得 日 益 重 要 。 随 着 企业 和 个 人 越 来 
越 频 繁 地 使 用 互联 网 进行 工作 和 生活 ,网 络 安全 性 成 为 一 个 重要 的 议题 。 数 据 在 网 络 
上 传输 ,此 时 个 人 或 公司 传送 的 数据 就 有 可 能 被 拦截 ,修改 或 次 用 。 防 火 墙 的 目的 就 是 
保护 网 络 不 被 未 经 授权 的 使 用 者 经 由 外 界 网 络 不 法 侵入 。 

防火 墙 (Firewall) 是 指 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信 的 公共 
网 ) 或 网 络 安全 域 之 间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 
唯一 出 入口 ,能 根据 企业 的 安全 政策 控制 (允许 ,拒绝 、 监 测 ) 出 入 网 络 的 信息 流 , 且 本 身 
具有 较 强 的 抗 攻 击 能 力 。 

为 实现 企业 内 部 所 需求 的 各 项 任务 ,防火 墙 需 按照 各 类 部 门 用 户 的 需求 制订 安全 
策略 ,主要 解决 企业 内 网 管理 问题 ,便于 统一 管理 各 个 部 门 的 工作 需求 ,改善 以 往 比较 
混乱 的 情况 ,对 所 有 关于 网 络 的 管理 进行 整合 。 

防火 墙 是 提供 信息 安全 服务 .实现 网 络 和 信息 安全 的 基础 设施 之 一 ,一 般 安装 在 被 
保护 区 域 的 边界 处 ,被 保护 区 域 与 Internet 之 间 的 防火 墙 可 以 有 效 控制 区 域内 部 网 络 
与 外 部 网 络 之 间 的 访问 和 数据 传输 ,进而 达到 保护 区 域内 部 信息 安全 的 目的 ,同时 , 通 
过 防火 墙 的 检查 控制 可 以 过 滤 掉 很 多 非法 信息 。 

本 书 介绍 了 防火 墙 的 基本 概念 与 实验 操作 、 配 置 系统 自 带 的 防火 墙 常 用 著名 防火 
墙 设置 .Red Hat Linux 系统 安全 及 Iptables 防火 墙 配置 、Windows Server 2003 服务 
器 防火 墙 ,Windows 7 防火 墙 的 高 级 配置 ,Windows Server 2008 R2 服务 器 的 安全 配 
置 ISA 网 络 防火 墙 、 企 业 级 防火 墙 TMG 的 部 署 、 虚 拟 企业 的 网 络 安全 项 目 实践 
案例 。 

通常 ,计算 机 网 络 工程 专业 和 其 他 相关 计算 机 专业 的 学 生 需 要 学 习 网 络 安 全 方面 
的 课程 ,防火 墙 技术 课程 是 网 络 安全 方面 的 重要 环节 ,是 教学 和 实践 的 必 选 课程 。 在 教 
学 和 实践 的 过 程 中 ,我 们 感到 选用 的 教材 不 太 适 合 实际 的 教学 和 实践 .有 的 教材 太 偏重 
理论 知识 ,缺乏 实验 和 操作 ,有 的 教材 不 合适 学 生 使 用 。 在 这 个 情况 下 ,我 们 多 次 研究 
和 总 结 ,编写 了 本 教程 ,并 在 实际 的 教学 和 实践 中 得 到 了 师 生 的 较 好 反应 ,于 是 决定 出 
版 以 方便 同类 学 生 使 用 。 

本 教材 编写 的 原则 : 针对 网 络 安全 类 专业 的 教学 规划 ,介绍 防火 墙 的 基本 概念 ,着 

重 讲述 防火 墙 技术 的 实验 、 项 目 设 计 , 为 本 科 及 高 职高 专 的 网 络 安全 类 专业 提供 可 行 

的 、 实 用 的 教程 。 
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本 教材 编写 的 特点 : 注重 实践 操作 和 项 目 案例 ,结合 当前 防火 墙 技 术 的 开发 与 应 用 的 
知识 点 ,着 重 介绍 防火 墙 的 实验 案例 ,以 便于 读者 进行 实际 操作 和 掌握 ,使 读者 较 快 掌握 防 
火 墙 技术 并 在 实际 中 解决 问题 ,给 广大 从 事 网 络 安全 的 人 员 提 供 一 些 帮 助 。 

本 教材 由 上 海 第 二 工业 大 学 毕 烨 负责 编写 , 吴 秀 梅 参 编 。 通 过 收集 大 量 资料 ,经 过 多 个 
学 期 的 教学 、 实 践 反复 论证 ,并 以 防火 墙 的 实验 案例 为 主导 思想 ,完成 此 教材 的 编写 。 感 谢 
上 海 第 二 工业 大 学 的 学 生 苏 东 坡 、 马 博 、 吴 中 宁 , 他 们 参与 了 本 书 的 实验 与 论证 。 

本 书 适用 于 应 用 技术 型 本 科 院 校 高 职高 专 层次 的 学 生 掌 握 防火 墙 应 用 技术 ,为 打造 真 
实 的 工作 环境 ,本 教材 在 第 10 章 编 写 了 虚拟 企业 基于 防火 墙 技术 的 网 络 安全 的 设计 开发 工 
作 , 使 学生 可 以 在 校内 学 习 到 在 企业 工作 中 所 需要 的 技术 ,实现 学 业 到 就 业 的 无 颖 衔接 。 由 
于 作者 水 平 有 限 , 书 中 难免 存在 芷 漏 与 不 妥 之 处 , 敬 请 读者 予以 指正 。 
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4.1.3 启动 瑞星 个 人 防火 墙 pp 


4.1.4 界面 及 菜单 说 明 … 


4.4 测试 防火 墙 系统 
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第 1 章 ”防火墙 概述 


网 络 安全 问题 将 随 着 Internet 宽带 发 展 与 电子 商务 的 事务 需求 变 得 日 益 重 要 。 企 业 或 

个 人 利用 互联 网 来 进行 交易 越 来 越 频繁 ,相对 地 网 络 安全 性 就 成 为 一 个 重要 的 问题 。 个 人 

会 使 用 信用 卡 在 网 络 上 做 交易 .公司 之 间 做 信息 交换 ,一 些 重要 资料 会 在 网 络 上 相互 流动 ， 

这 时 个 人 或 公司 传送 的 资料 就 有 可 能 会 被 拦截 ,修改 或 次 用 ,而 有 些 黑 客 有 时 会 为 了 试 试 他 

的 技术 而 入侵 别人 的 计算 机 ,严重 的 会 致使 公司 的 网 站 被 破坏 并 毁 掉 顾客 资料 ,以 致 影响 到 

公司 的 利益 或 顾客 的 隐私 及 权利 。 为 此 防火 墙 的 目的 就 是 要 保护 网 络 不 被 未 经 授权 的 使 用 
经 由 外 界 网 络 ( 如 Internet) 不 法 侵入 ,为 维护 企业 及 个 人 的 利益 建立 一 道 安全 屏障 。 




















1.1 防火 墙 定义 


防火 墙 是 指 隔 离 在 本 地 网 络 与 外 界 网 络 之 间 的 一 道 防御 系统 ,是 这 一 类 防范 措施 的 
总 称 。 

防火 墙 的 架构 是 一 套 独 立 的 软 ,硬件 配置 .基本 上 是 在 一 台 服 务 器 上 ,由 操作 系统 
(Operating System,OS) 及 网 络 防 火 墙 应 用 软件 而 构成 。 它 架构 于 互联 网 (Internet 与 内 部 
网 络 (Intranet) 之 间 ,被 运用 于 两 个 网 络 之 间 ,作为 内 部 与 外 部 沟通 的 桥梁 ,也 是 企业 网 络 对 
外 接触 的 第 一 道 大 门 。 
在 互联 网 上 防火 墙 是 一 种 非常 有 效 的 网 络 安全 系统 ,通过 它 可 以 隔离 风险 区 域 ( 即 
Internet 或 有 一 定 风险 的 网 络 ) 与 安全 区 域 (局 域 网 ) 的 连接 ,同时 不 会 妨碍 人 们 对 风险 区 域 
的 访问 。 防 火 墙 可 以 监控 进出 网 络 的 通信 量 , 从 而 完成 看 似 不 可 能 的 任务 ; 仅 让 安全 、 核 准 
了 的 信息 进入 ,同时 又 抵制 有 威胁 的 数据 。 随 着 安全 性 问题 上 的 失误 和 缺陷 越 来 越 普遍 ,对 
网 络 的 入 侵 不 仅 来 自 高 超 的 攻击 手段 ,也 有 可 能 来 自 配置 上 的 低级 错误 或 不 合适 的 口令 选 
择 。 因 此 ,防火 墙 的 作用 是 防止 不 希望 的 ,未 授权 的 通信 进出 被 保护 的 网 络 , 强 化 了 网 络 安 
全 政策 。 
般 的 防火 墙 都 可 以 达到 以 下 目的 : 一 是 可 以 限制 他 人 进入 内 部 网 络 ,过 滤 掉 不 安全 
民 务 和 非法 用 户 ; 二 是 防止 入 侵 者 接近 防御 设施 ; 三 是 限定 用 户 访 问 特殊 站 点 ; 四 是 为 监 
视 Internet 安全 提供 方便 。 由 于 防火 墙 假 设 了 网 络 边 界 和 服务 ,因此 更 适合 于 相对 独立 的 
网 络 ,例如 Intranet 等 种 类 相对 集中 的 网 络 。 防 火 墙 正在 成 为 控制 对 网 络 系 统 访问 的 非常 
流行 的 方法 。 目 前 ,在 Internet 上 的 Web 网 站 中 ,超过 三 分 之 一 的 Web 网 站 都 是 由 某 种 形 
式 的 防火 墙 加 以 保护 ,这 是 对 黑客 防范 最 严 , 安 全 性 较 强 的 一 种 方式 ,任何 关键 性 的 服务 器 ， 
都 建议 放 在 防火 墙 之 后 。 

防火 墙 主 要 由 服务 访问 规则 、 验 证 工具 、 包 过 滤 和 应 用 网 关 4 个 部 分 组 成 。 

在 互联 网 上 防火 墙 是 一 种 非常 有 效 的 网 络 安全 模型 .通过 它 可 以 隔离 风险 区 域 ( 即 
Internet 或 有 一 定 风 险 的 网 络 ) 与 安全 区 域 ( 局 域 网 ) 的 连接 。 所 谓 “ 防 火 墙 ”, 是 指 一 种 将 内 
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部 网 和 公众 访问 网 (如 Internet) 分 开 的 方法 , 它 实 际 上 是 一 种 隔离 技术 。 防 火 墙 是 在 两 个 
网 络 通信 时 执行 的 一 种 访问 控制 尺度 , 它 能 允许 “同意 ”的 人 和 数据 进入 网 络 ,同时 将 “不 同 
意 ” 的 人 和 数据 拒 之 门 外 , 最 大 限度 地 阻止 网 络 中 的 黑客 访问 网 络 。 换 句 话 说 ,如 果 不 通过 
防火 墙 ,公司 内 部 的 人 就 无 法 访问 Internet, Internet 上 的 人 也 无 法 和 公司 内 部 的 人 进行 
通信 。 

内 部 网 络 防火 墙 jan 防火 墙 是 设置 在 不 同 网 络 ( 如 可 信任 的 企业 
内 部 网 和 不 可 信 的 公共 网 ) 或 网 络 安全 域 之 间 的 
一 系列 部 件 的 组 合 ,如 图 1-1 所 示 。 它 是 不 同 网 
络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 ,能 根据 
企业 的 安全 政策 控制 (允许 .拒绝 监测) 出 入 网 
络 的 信息 流 , 且 本 身 具 有 较 强 的 抗 攻击 能 力 。 它 
是 提供 信息 安全 服务 ,实现 网 络 和 信息 安全 的 基 








出 设施 。 
在 逻辑 上 ,防火 墙 是 一 个 分 离 器 , 一 个 限制 
而 让 1 关 网关 到 扣 二 表示 最 器 ,也 是 一 个 分 析 器 ,有效 地 监控 了 内 部 网 和 


Internet 之 间 的 任何 活动 ,保证 了 内 部 网 络 的 安 
全 。 防 火 墙 可 以 是 硬件 型 的 ,所 有 数据 都 首先 通过 硬件 芯片 监测 ,也 可 以 是 软件 类 型 ,软件 
在 计算 机 上 运行 并 监控 。 其 实 硬件 型 也 就 是 芯片 里 固化 了 的 软件 ,但 是 它 不 占用 计算 机 
CPU 处 理 时 间 ,功能 非常 强大 ,处 理 速度 很 快 ,但 对 于 个 人 用 户 来 说 软件 型 更 加 方便 实用 。 
防火 墙 技术 从 诞生 开始 ,就 在 时 刻 不 停 地 发 展 着 ,各 种 不 同 结构 不 同 功能 的 防火 墙 , 构 
筑 成 网 络 上 的 一 道道 防御 大 坦 。 


1.2 防火 墙 的 分 类 与 技术 


1.2.1 防火 墙 的 分 类 


防火 墙 分 类 的 方法 很 多 ,除了 从 形式 上 把 它 分 为 软件 防火 墙 和 硬件 防火 墙 以 外 ,还 可 以 
从 技术 上 分 为 包 过 滤 型 .应 用 代理 型 和 状态 监视 三 类 ; 从 结构 上 又 分 为 单一 主机 防火 墙 \ 路 
由 集成 式 防火 墙 和 分 布 式 防火 墙 三 种 ; 按 工作 位 置 分 为 边界 防火 墙 \ 个 人 防火 墙 和 混合 防 
火 墙 ; 按 防 火 墙 性 能 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 两 类 ; 等 等 。 虽 然 看 似 种 类 繁多 ， 
但 这 只 是 因为 业界 分 类 方法 不 同 罢 了 ,例如 ,一 台 硬 件 防 火 墙 就 可 能 由 于 结构 、 数 据 吞 吐 量 
和 工作 位 置 而 规划 为 " 百 兆 级 状态 监视 型 边界 防火 墙 ”, 因 此 这 里 主要 介绍 的 是 技术 方面 的 
分 类 , 即 包 过 滤 型 ,应 用 代理 型 和 状态 监视 型 防火 墙 技术 。 

为 了 更 有 效率 地 对 付 网 络 上 各 种 不 同 的 攻击 手段 ,防火 墙 也 划分 出 几 种 防御 架构 。 根 
据 物 理 特性 ,防火 墙 分 为 两 大 类 ,硬件 防火 墙 和 软件 防火 墙 。 软 件 防火 墙 是 一 种 安装 在 负责 
内 外 网 络 转换 的 网 关 服 务 器 或 者 独立 的 个 人 计算 机 上 的 特殊 程序 , 它 是 以 逻辑 形式 存在 的 ， 
防火 墙 程序 跟随 系统 启动 ,通过 运行 在 Ring0 级 别 的 特殊 驱动 模块 把 防御 机 制 插入 系统 关 
于 网 络 的 处 理 部 分 和 网 络 接口 设备 驱动 之 间 ,形成 一 种 逻辑 上 的 防御 体系 。 
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在 没有 软件 防火 墙 之 前 ,系统 和 网 络 接口 设备 之 间 的 通道 是 直接 的 ,网 络 接口 设备 通过 
网 络 驱动 程序 接口 (Network Driver Interface Specification, NDIS) 把 网 络 上 传 来 的 各 种 报 
文 都 忠实 地 交 给 系统 处 理 , 例 如 ,一 台 计算 机 接收 到 请 求 列 出 机 器 上 所 有 共享 资源 的 数据 报 
文 ,NDIS 直接 把 这 个 报 文 提交 给 系统 ,系统 在 处 理 后 就 会 返回 相应 数据 ,在 某 些 情况 下 就 
会 造成 信息 泄漏 。 而 使 用 软件 防火 墙 后 ,尽管 NDIS 接收 到 的 仍然 是 原封 不 动 的 数据 报 文 ， 
但 是 在 提交 到 系统 的 通道 上 时 多 了 一 层 防御 机 制 ,所 有 数据 报 文 都 要 经 过 这 层 机 制 根 据 一 
定 的 规则 判断 处 理 , 只 有 它 认 为 安全 的 数据 才能 到 达 系 统 , 其 他 数据 则 被 丢弃 。 因 为 有 规则 
提 到 “ 列 出 共享 资源 的 行为 是 危险 的 ”, 因 此 在 防火 墙 的 判断 下 ,这 个 报 文 会 被 丢弃 ,这 样 一 
来 ,系统 接收 不 到 报 文 , 则 认为 什么 事情 也 没 发 生 过 ,也 就 不 会 把 信息 泄漏 出 去 了 。 

软件 防火 墙 工作 于 系统 接口 与 NDIS 之 间 , 用 于 检查 过 滤 由 NDIS 发 送 过 来 的 数据 ,在 
无 须 改动 硬件 的 前 提 下 便 能 实现 一 定 强度 的 安全 保障 ,但 是 由 于 软件 防火 墙 自 身 属于 运行 
于 系统 上 的 程序 ,不 可 避免 地 需要 占用 一 部 分 CPU 资源 维持 工作 ,而 且 由 于 数据 判断 处 理 
需要 一 定 的 时 间 ,在 一 些 数据 流量 大 的 网 络 里 ,软件 防火 墙 会 使 整个 系统 工作 效率 和 数据 知 
吐 速度 下 降 , 甚 至 有 些 软件 防火 墙 会 存在 漏洞 ,导致 有 害 数据 可 以 绕 过 它 的 防御 体系 ,给 数 
据 安全 带 来 损失 ,因此 ,许多 企业 并 不 会 考虑 用 软件 防火 墙 方案 作为 公司 网 络 的 防御 措施 ， 
而 是 使 用 看 得 见 摸 得 着 的 硬件 防火 墙 。 

硬件 防火 墙 是 一 种 以 物理 形式 存在 的 专用 设备 ,通常 架设 于 两 个 网 络 的 驳 接 处 ,直接 从 
网 络 设备 上 检查 过 滤 有 害 的 数据 报 文 ,位 于 防火 墙 设备 后 端的 网 络 或 者 服务 器 接收 到 的 是 
经 过 防火 墙 处 理 的 相对 安全 的 数据 ,不 必 另 外 分 出 CPU 资源 去 进行 基于 软件 架构 的 NDIS 
数据 检测 ,可 以 大 大 提高 工作 效率 。 

硬件 防火 墙 一 般 是 通过 网 线 连接 于 外 部 网 络 接口 与 内 部 服务 器 或 企业 网 络 之 间 的 设 
备 , 这 里 又 另外 划分 出 两 种 结构 ,一 种 是 普通 硬件 级 别 防火 墙 , 它 拥有 标准 计算 机 的 硬件 平 
台 和 一 些 功能 经 过 简化 处 理 的 UNIX 系列 操作 系统 和 防火 墙 软件 ,这 种 防火 墙 措施 相当 于 
专门 拿 出 一 台 计 算 机 安装 了 软件 防火 墙 ,除了 不 需要 处 理 其 他 事务 以 外 , 它 毕 竟 还 是 一 般 的 
操作 系统 ,因此 有 可 能 会 存在 漏洞 和 不 稳定 因素 ,安全 性 并 不 能 做 到 最 好 ; 另 一 种 是 所 谓 的 
“芯片 "级 硬件 防火 墙 , 它 采用 专门 设计 的 硬件 平台 ,在 上 面 搭建 的 软件 也 是 专门 开发 的 ,并 
非 流 行 的 操作 系统 ,因而 可 以 达到 较 好 的 安全 性 能 保障 。 

所 谓 的 边界 防火 墙 . 单 一 主机 防火 墙 又 是 什么 概念 呢 ? 所 谓 边界 ,就 是 指 两 个 网 络 之 间 
的 接口 处 ,工作 于 此 的 防火 墙 就 被 称 为 “边界 防火 墙 ”; 与 之 相对 的 有 “个 人 防火 墙 ,它们 通 
常 是 基于 软件 的 防火 墙 ,只 处 理 一 台 计 算 机 的 数据 而 不 是 整个 网 络 的 数据 ,现在 一 般 家 庭 用 
户 使 用 的 软件 防火 墙 就 是 属于 这 一 类 。 而 单一 主机 防火 墙 ,就 是 最 常见 的 一 台 台 硬件 防火 
墙 了 ; 一 些 厂 商 为 了 节约 成 本 ,直接 把 防火 墙 功能 嵌 进 路 由 设备 里 ,就 形成 了 路 由 集成 式 防 
火 墙 。 

下 面 介绍 防火 墙 的 基本 类 型 。 

1. 包 过 滤 防火 墙 

第 一 代 防 火 墙 和 最 基本 形式 的 防火 墙 检查 每 一 个 通过 的 网 络 包 , 或 者 丢弃 ,或 者 放行 ， 
取决 于 所 建立 的 一 套 规则 。 这 称 为 包 过 滤 防 火 墙 。 本 质 上 , 包 过 滤 防 火 墙 是 多 址 的 ,表明 它 
有 两 个 或 两 个 以 上 网 络 适配器 或 接口 。 例 如 ,作为 防火 墙 的 设备 可 能 有 两 块 网 卡 (NIC) ,一 
块 连 到 内 部 网 络 ,一 块 连 到 公共 的 Internet。 防 火 墙 的 任务 ,就 是 作为 “通信 警察", 指引 包 
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和 截 住 那些 有 危害 的 包 。 

包 过 滤 防 火 墙 检查 每 一 个 传人 包 , 查 看 包 中 可 用 的 基本 信息 ( 源 地 址 和 目的 地 址 、 端 口 
号 ,协议 等 )。 然 后 ,将 这 些 信息 与 设立 的 规则 相 比较 。 如 果 已 经 设立 了 阻 断 Telnet 连接 ， 
而 包 的 目的 端口 是 23 的 话 , 那 么 该 包 就 会 被 丢弃 。 如 果 人 允许 传人 Web 连接 ,而 目的 端口 为 
80, 则 包 就 会 被 放行 。 

多 个 复杂 规则 的 组 合 也 是 可 行 的 。 如 果 人 允许 Web 连接 ,但 只 针对 特定 的 服务 器 ,目的 
端口 和 目的 地 址 二 者 必须 与 规则 相 匹 配 , 才 可 以 让 该 包 通 过 。 

最 后 ,可 以 确定 当 一 个 包 到 达 时 ,如 果 有 理由 让 该 包 通 过 ,就 要 建立 规则 来 处 理 它 。 

建立 一 个 包 过 滤 防 火 墙 规则 的 例子 如 下 。 

对 来 自 专用 网 络 的 包 , 只 允许 来 自 内 部 地 址 的 包 通 过 ,因为 其 他 包 包含 不 正确 的 包头 部 
信息 。 这 条 规则 可 以 防止 网 络 内 部 的 任何 人 通过 欺骗 性 的 源 地 址 发 起 攻击 。 而 且 , 如 果 黑 
客 对 专用 网 络 内 部 的 机 器 具有 了 不 知 从 何 得 来 的 访问 权 , 这 种 过 滤 方 式 可 以 阻止 黑客 从 网 
络 内 部 发 起 攻击 。 

在 公共 网 络 , 只 允许 目的 地 址 为 80 端口 的 包 通过 。 这 条 规则 只 允许 传人 的 连接 为 
Web 连接 。 这 条 规则 也 允许 与 Web 连接 使 用 相同 端口 的 连接 ,所 以 它 并 不 是 十 分 安全 。 

丢弃 从 公共 网 络 传人 的 包 , 而 这 些 包 都 有 网 络 内 的 源 地 址 ,从 而 减少 IP 欺骗 性 的 攻击 。 

丢弃 包含 源 路 由 信息 的 包 , 以 减少 源 路 由 攻击 。 要 记 住 ,在 源 路 由 攻击 中 , 传 信 的 包 包 
含 路 由 信息 , 它 覆 六 了 包 通 过 网 络 应 采取 的 正常 路 由 ,可 能 会 绕 过 已 有 的 安全 程序 。 通 过 忽 
略 源 路 由 信息 ,防火 墙 可 以 减少 这 种 方式 的 攻击 。 

2. 状态 /动态 检测 防火 墙 

状态 /动态 检测 防火 墙 , 试 图 跟踪 通过 防火 墙 的 网 络 连接 和 包 , 这 样 防火 墙 就 可 以 使 用 
一 组 附加 的 标准 ,以 确定 是 否 允 许 和 拒绝 通信 。 它 是 在 使 用 了 基本 包 过 滤 防 火 墙 的 通信 上 
应 用 一 些 技术 来 做 到 这 点 的 。 

当 包 过 滤 防 火 墙 见 到 一 个 网 络 包 , 包 是 孤立 存在 的 。 它 没有 防火 墙 所 关心 的 历史 或 未 
来 。 允 许 和 拒绝 包 的 决定 完全 取决 于 包 自 身 所 包含 的 信息 ,如 源 地 址 、 目 的 地 址 、 端 口号 等 。 
包 中 没有 包含 任何 描述 它 在 信息 流 中 的 位 置 的 信息 , 则 该 包 被 认为 是 无 状态 的 , 它 仅 是 存在 
而 已 。 

检查 一 个 有 状态 包 防 火 墙 跟踪 的 不 仅 是 包 中 包含 的 信息 。 为 了 跟踪 包 的 状态 ,防火 墙 
还 记录 有 用 的 信息 以 帮助 识别 包 , 例 如 已 有 的 网 络 连 接 、 数 据 的 传 出 请 求 等 。 

如 果 传 人 的 包 包 含 视频 数据 流 ,防火 墙 可 能 已 经 记录 了 有 关 信 息 , 是 关于 位 于 特定 IP 
地 址 的 应 用 程序 最 近 向 发 出 包 的 源 地 址 请 求 视频 信号 的 信息 。 如 果 传 人 的 包 是 要 传 给 发 出 
请 求 的 相同 系统 ,防火 墙 进行 匹配 , 包 就 可 以 被 允许 通过 。 

一 个 状态 /动态 检测 防火 墙 可 截断 所 有 传人 的 通信 ,而 允许 所 有 传 出 的 通信 。 因 为 防火 
墙 跟踪 内 部 出 去 的 请 求 ,所 有 按 要 求 传人 的 数据 被 允许 通过 ,直到 连接 被 关闭 为 止 。 只 有 未 
被 请 求 的 传人 通信 被 截断 。 

如 果 在 防火 墙 内 正 运行 一 台 服 务 器 ,配置 就 会 变 得 稍微 复杂 一 些 , 但 状态 包 检查 是 很 有 
力度 和 适应 性 的 技术 。 例 如 ,可 以 将 防火 墙 配置 成 只 允许 从 特定 端口 进入 的 通信 ,只 可 传 到 
特定 服务 器 。 如 果 正 在 运行 Web 服务 器 ,防火 墙 只 将 80 端口 传人 的 通信 发 到 指定 的 Web 
服务 器 。 
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另外 ,状态 /动态 检测 防火 墙 可 提供 的 其 他 一 些 额外 的 服务 如 下 。 

(1) 将 某 些 类 型 的 连接 重 定向 到 审核 服务 中 去 。 例 如 ,到 专用 Web 服务 器 的 连接 ,在 
Web 服务 器 连接 被 允许 之 前 ,可 能 被 发 到 SecutID 服务 器 (用 一 次 性 口令 来 使 用 ) 。 

(2) 拒绝 携带 某 些 数据 的 网 络 通信 ,例如 , 带 有 附加 可 执行 程序 的 传人 电子 消息 ,或 包 
含 ActiveX 程序 的 Web 页 面 。 

跟踪 连接 状态 的 方式 取决 于 包 通 过 防火 墙 的 类 型 。 

(1) TCP 包 。 当 建立 起 一 个 TCP 连接 时 ,通过 的 第 一 个 包 被 标 有 包 的 SYN 标志 。 一 
般 情况 下 ,防火 墙 会 丢弃 所 有 外 部 的 连接 企图 ,除非 已 经 建立 起 某 条 特定 规则 来 处 理 它们 。 
对 内 部 的 连接 试图 连 到 外 部 主机 ,防火 墙 会 注 明 连接 包 , 允许 响应 及 随后 再 连接 两 个 系统 之 
间 的 包 , 直 到 连接 结束 为 止 。 在 这 种 方式 下 ,传人 的 包 只 有 在 它 是 响应 一 个 已 建立 的 连接 
时 , 才 会 被 允许 通过 。 

(2) UDP 包 。UDP 包 比 TCP 包 简 单 , 因 为 它们 不 包含 任何 连接 或 序列 信息 。 它 们 只 
包含 源 地 址 .目的 地 址 、 校 验 和 携带 的 数据 。 信 息 的 缺乏 使 得 防火 墙 确定 包 的 合法 性 很 困 
难 , 因 为 没有 打开 的 连接 可 以 测试 传人 的 包 是 否 应 被 允许 通过 。 可 是 ,防火 墙 跟踪 连接 状态 
的 方式 可 以 确定 。 对 传人 的 包 , 若 它 所 使 用 的 地 址 和 UDP 包 携带 的 协议 与 传 出 的 连接 请 
求 匹 配 ,该 包 就 被 允许 通过 。 和 TCP 包 一 样 ,UDP 包 会 被 允许 通过 ,是 响应 传 出 的 请 求 或 
已 经 建立 了 指定 的 规则 来 处 理 它 。 

对 其 他 种 类 的 包 , 情 况 和 UDP 包 类 似 。 防 火 墙 仔细 地 跟踪 传 出 的 请 求 , 记 录 下 所 使 用 
的 地 址 ,协议 和 包 的 类 型 ,然后 对 照 保 存 过 的 信息 核对 传人 的 包 , 以 确保 这 些 包 是 被 请 求 的 。 

3. 应 用 程序 代理 防火 墙 

应 用 程序 代理 防火 墙 实 际 上 并 不 允许 在 它 连接 的 网 络 之 间 直 接 通 信 。 它 是 接收 来 自 内 
部 网 络 特定 用 户 应 用 程序 的 通信 ,再 建立 单独 的 公共 网 络 服务 器 连接 。 网 络 内 部 的 用 户 不 
直接 与 外 部 的 服务 器 通信 ,所 以 服务 器 不 能 直接 访问 内 部 网 的 任何 一 部 分 。 

另外 ,如 果 不 为 特定 的 应 用 程序 安装 代理 程序 代码 ,这 种 服务 是 不 会 被 支持 的 ,不 能 建 
立 任 何 连接 。 这 种 建立 方式 拒绝 任何 没有 明确 配置 的 连接 ,从 而 提供 了 额外 的 安全 性 和 控 
制 性 。 

例如 ,一 个 用 户 的 Web 浏览 器 可 能 在 80 端口 ,但 也 经 常 可 能 是 在 1080 端口 ,连接 到 
了 内 部 网 络 的 HTTP 代理 防火 墙 。 防火 墙 会 接收 这 个 连接 请 求 , 并 把 它 转 到 所 请 求 的 
Web 服务 器 。 这 种 连接 和 转移 对 该 用 户 来 说 是 透明 的 ,因为 它 完 全 是 由 代理 防火 墙 自动 处 
理 的 。 代 理 防 火 墙 通常 支持 的 一 些 常 见 的 应 用 程序 有 HTTP、HTTPS/SSL、SMTP、 
POP3 IMAP NNTP、Telnet\FTP 和 IRC. 

应 用 程序 代理 防火 墙 可 以 配置 成 允许 来 自 内 部 网 络 的 任何 连接 , 它 也 可 以 配置 成 要 求 
用 户 认证 后 才 建 立 连 接 。 要 求 认证 的 方式 有 只 为 已 知 的 用 户 建立 连接 的 限制 ,为 安全 性 提 
供 了 额外 的 保证 。 如 果 网 络 受 到 危害 ,这 个 特征 使 得 从 内 部 发 动 攻击 的 可 能 性 大 大 减少 。 

4. NAT 

讨论 到 防火 墙 的 主题 ,就 一 定 要 提 到 有 一 种 路 由 器 ,尽管 从 技术 上 讲 它 根本 不 是 防火 
墙 。 网络 地 址 转换 (NAT) 协 议 将 内 部 网 络 的 多 个 卫 地 址 转换 到 一 个 公共 地 址 发 到 


Internet 上 。 
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NAT 经 常用 于 小 型 办 公 室 、 家 庭 等 网 络 , 多 个 用 户 分 享 单一 的 IP 地 址 ,并 为 Internet 
连接 提供 一 些 安全 机 制 。 

当 内 部 用 户 与 一 个 公共 主机 通信 时 ,NAT 追踪 是 哪 一 个 用 户 发 起 的 请 求 , 修 改 传 出 的 
包 , 这 样 包 就 像 是 来 自 单一 的 公共 IP 地 址 ,然后 青 打 开 连 接 。 一 旦 建立 了 连接 ,在 内 部 计算 
机 和 Web 站 点 之 间 来 回流 动 的 通信 就 都 是 透明 的 了 。 

当 从 公共 网 络 传 来 一 个 未 经 请 求 的 传人 连接 时 ,NAT 有 一 套 规则 来 决定 如 何 处 理 它 。 
如 果 没 有 事先 定义 好 的 规则 ,NAT 只 是 简单 地 丢弃 所 有 未 经 请 求 的 传人 连接 ,就 像 包 过 滤 
防火 墙 所 做 的 那样 。 
可 是 ,就 像 对 包 过 滤 防 火 墙 一 样 , 可 以 将 NAT 配置 为 接受 某 些 特定 端口 传 来 的 传人 连 
接 ,并 将 它们 送 到 一 个 特定 的 主机 地 址 。 


1.2.2 防火 墙 的 技术 


传统 意义 上 的 防火 墙 技术 分 为 三 大 类 : 包 过 滤 (Packet Filtering)、 应 用 代理 
(Application Proxy) 和 状态 监视 (Stateful Inspection) 。 无 论 一 个 防火 墙 的 实现 过 程 多 么 复 
杂 , 归 根 结 底 都 是 在 这 三 种 技术 的 基础 上 进行 功能 扩展 的 。 

1. 包 过 滤 技 术 

包 过 滤 是 最 早 使 用 的 一 种 防火 墙 技术 , 它 的 第 一 代 模 型 是 静态 包 过 滤 (Static Packet 
Filtering) 。 使 用 包 过 滤 技 术 的 防火 墙 通常 工作 在 OSI 模型 中 的 网 络 层 (Network Layer) 
上 ,后 来 发 展 更 新 的 动态 包 过 滤 (Dynamic Packet Filtering ) 增加 了 传输 层 (Transport 
Layer) 。 简 而 言 之 , 包 过 滤 技 术 工 作 的 地 方 就 是 各 种 基于 TCP/IP 协议 的 数据 报 文 进出 的 
通道 , 它 把 这 两 层 作为 数据 监控 的 对 象 ,对 每 个 数据 包 的 头 部 ,协议 、 地 址 、 端 口 、 类 型 等 信息 
进行 分 析 , 并 与 预先 设 定好 的 防火 增 过 滤 规 则 (Filtering Rule) 进行 核对 ,一 旦 发 现 某 个 包 的 
某 个 或 多 个 部 分 与 过 滤 规 则 匹配 并 且 条 件 为 “阻止 "的 时 候 , 这 个 包 就 会 被 丢弃 。 适 当地 设 
置 过 滤 规 则 可 以 让 防火 墙 工作 得 更 安全 有 效 , 但 是 这 种 技术 只 能 根据 预 设 的 过 滤 规 则 进行 判 
断 , 一 旦 出 现 一 个 没有 在 设计 人 员 意 料 之 中 的 有 害 数据 包 请 求 , 整 个 防火 墙 就 形同虚设 了 。 

读者 也 许 会 想 ,自行 添加 不 行 吗 ? 但 是 别 忘 了 ,为 普通 计算 机 用 户 考 虑 ,并 不 是 所 有 人 
都 了 解 网 络 协议 的 ,如 果 防 火 墙 工 具 出 现 了 过 滤 遗 漏 问题 ,他 们 只 能 等 着 被 和 人 侵 了 。 一 些 公 
司 采用 定期 从 网 络 升级 过 滤 规 则 的 方法 ,这 个 创意 固然 可 以 方便 一 部 分 家 庭 用 户 ,但 是 对 相 
对 比较 专业 的 用 户 而 言 , 却 不 见得 就 是 好 事 , 因 为 他 们 可 能 会 有 根据 自己 的 机 器 环境 设 定 和 
改动 的 规则 ,如 果 这 个 规则 刚好 和 升级 到 的 规则 发 生 冲 突 , 用 户 就 该 郁闷 了 ,而 且 如 果 两 条 
规则 冲突 了 ,防火 墙 会 不 会 当场 崩溃 ? 也 许 就 因为 考虑 到 这 些 因 素 , 至 今 没 见 过 有 多 少 个 产 
品 会 提供 过 滤 规 则 更 新 功能 的 ,这 并 不 能 和 杀毒 软件 的 病毒 特征 库 升 级 原理 相提并论 。 

为 了 解决 这 种 鱼 与 能 掌 难以 兼 得 的 问题 ,人 们 对 包 过 滤 技 术 进 行 了 改进 ,这 种 改进 后 的 
技术 称 为 动态 包 过 滤 技 术 ( 市 场 上 存在 一 种 基于 状态 的 包 过 滤 防 火 墙 技术 , 即 Stateful- 
based Packet Filtering ,它们 其 实 是 同一 类 型 )。 与 它 的 前 辈 相 比 , 动 态 包 过 滤 功 能 在 保持 原 
有 静态 包 过 滤 技 术 和 过 滤 规 则 的 基础 上 ,会 对 已 经 成 功 与 计算 机 连接 的 报 文 传输 进行 跟踪 ， 
并 且 判 断 该 连接 发 送 的 数据 包 是 否 会 对 系统 构成 威胁 ,一 旦 触发 其 判断 机 制 , 防 火 墙 就 会 自 
动产 生 新 的 临时 过 滤 规 则 或 者 对 已 经 存在 的 过 滤 规 则 进行 修改 ,从 而 阻止 该 有 害 数据 的 继 
续 传 输 。 但 是 由 于 动态 包 过 滤 需 要 消耗 额外 的 资源 和 时 间 来 提取 数据 包 内 容 进 行 判 断 处 
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理 , 所 以 与 静态 包 过 滤 相 比 , 它 会 降低 运行 效率 ,但 是 静态 包 过 滤 已 经 几乎 退出 市 场 了 ,能 选 
择 的 ,大 部 分 也 只 有 动态 包 过 滤 防 火 墙 了 。 

2. 应 用 代理 技术 
日 于 包 过 滤 技 术 无 法 提供 完善 的 数据 保护 措施 ,而 且 一 些 特殊 的 报 文 攻击 仅 使 用 过 滤 
的 方法 并 不 能 消除 危害 (如 SYN 攻击 ICMP 洪水 等 ) ,因此 人 们 需要 一 种 更 全 面 的 防火 墙 
保护 技术 ,在 这 样 的 需求 背景 下 ,采用 应 用 代理 (Application Proxy) 技 术 的 防火 墙 诞生 了 。 
代理 服务 器 作为 一 个 为 用 户 保 密 或 者 突破 访问 限制 的 数据 转发 通道 ,在 网 络 上 应 用 广泛 。 
一 个 完整 的 代理 设备 包含 一 个 服务 端 和 客户 端 ,服务 端 接收 来 自用 户 的 请 求 , 调 用 自身 的 客 
户 端 模拟 一 个 基于 用 户 请 求 的 连接 到 目标 服务 器 ,再 把 目标 服务 器 返回 的 数据 转发 给 用 户 ， 
完成 一 次 代理 工作 过 程 。“ 应 用 代理 ”防火 墙 ,实际 上 就 是 一 台 小 型 的 带 有 数据 检测 过 滤 功 
能 的 透明 代理 服务 器 (Transparent Proxy) ,但 是 它 并 不 是 单纯 地 在 一 个 代理 设备 中 嵌入 包 
过 滤 技 术 ,而 是 一 种 被 称 为 应 用 协议 分 析 (Application Protocol Analysis) 的 新 技术 。 

“应 用 协议 分 析 ” 技 术 工 作 在 OSI 模型 的 最 高 层 一 一 应 用 层 上 ,在 这 一 层 里 能 接触 到 的 
所 有 数据 都 是 最 终 形式 ,也 就 是 说 ,防火 墙 “看 到 ”的 数据 和 我 们 看 到 的 是 一 样 的 ,而 不 是 一 
个 个 带 着 地 址 端口 协议 等 原始 内 容 的 数据 包 , 因 而 它 可 以 实现 更 高 级 的 数据 检测 过 程 。 整 
个 代理 防火 墙 把 自身 映射 为 一 条 透明 线路 ,在 用 户 方面 和 外 界线 路 看 来 ,它们 之 间 的 连接 并 
没有 任何 阻碍 ,但 是 这 个 连接 的 数据 收发 实际 上 是 经 过 了 代理 防火 墙 转向 的 , 当 外 界 数据 进 
人 代理 防火 墙 的 客户 端 时 ， 应 用 协议 分 析 ” 模 块 便 根 据 应 用 层 协议 处 理 这 个 数据 ,通过 预 置 
的 处 理 规则 查询 这 个 数据 是 否 带 有 危害 ,由 于 这 一 层面 对 的 已 经 不 再 是 组 合 有 限 的 报 文 协 
议 , 所 以 防火 墙 不 仅 能 根据 数据 层 提供 的 信息 判断 数据 ,更 能 像 管理 员 分 析 服 务 器 日 志 那 样 
“看 "内容 辨 危害 。 而 且 由 于 工作 在 应 用 层 , 防 火 墙 还 可 以 实现 双向 限制 ,在 过 滤 外 部 网 络 有 
害 数据 的 同时 也 监控 着 内 部 网 络 的 信息 ,管理 员 可 以 配置 防火 墙 实 现 一 个 身份 验证 和 连接 
时 限 的 功能 ,进一步 防止 内 部 网 络 信息 泄漏 的 隐患 。 

最 后 ,由 于 代理 防火 墙 采 取代 理 机 制 进 行 工 作 . 内 外 部 网 络 之 间 的 通信 都 需 先 经 过 代理 
服务 器 审核 ,通过 后 再 由 代理 服务 器 连接 ,根本 没有 给 分 隔 在 内 外 部 网 络 两 边 的 计算 机 直接 
会 话 的 机 会 ,可 以 避免 入 侵 者 使 用 "数据 驱动 ”攻击 方式 (一 种 能 通过 包 过 滤 技 术 防 火 墙 规则 
的 数据 报 文 , 但 是 当 它 进入 计算 机 处 理 后 , 却 变 成 能 够 修改 系统 设置 和 用 户 数据 的 恶意 代 
码 ) 渗 透 内 部 网 络 ,可 以 说 ,应 用 代理 是 比 包 过 滤 技 术 更 完善 的 防火 墙 技术 。 

但 是 ,似乎 任何 东西 都 不 可 能 逃避 墨 菲 定律 的 规则 ,代理 型 防火 墙 的 结构 特征 偏偏 正 是 
它 最 大 的 缺点 ,由 于 它 是 基于 代理 技术 的 .通过 防火 墙 的 每 个 连接 都 必须 建立 在 为 之 创建 的 
代理 程序 进程 上 ,而 代理 进程 自身 是 要 消耗 一 定时 间 的 ,更 何况 代理 进程 里 还 有 一 套 复杂 的 
协议 分 析 机 制 在 同时 工作 ,于 是 数据 在 通过 代理 防火 墙 时 就 不 可 避免 地 发 生 数据 迟滞 现象 。 
换个 形象 的 说 法 ,每 个 数据 连接 在 经 过 代理 防火 墙 时 都 会 先 被 请 进 保安 室 喝 杯 茶 、 搜 搜 身 ， 
再 继续 赶路 ,而 保安 的 工作 速度 并 不 能 很 快 。 代 理 防 火 墙 是 以 牺牲 速度 为 代价 换取 了 比 包 
过 滤 防 火 墙 更 高 的 安全 性 能 的 ,在 网 络 吞 吐 量 不 是 很 大 的 情况 下 ,也许 用 户 不 会 察觉 到 什 
么 ,然而 到 了 数据 交换 频繁 的 时 刻 , 代 理 防火 墙 就 成 了 整个 网 络 的 瓶颈 ,而 且 一 旦 防火 墙 的 
硬件 配置 支撑 不 住 高 强度 的 数据 流量 而 发 生 轩 工 ,整个 网 络 可 能 就 会 因此 瘫痪 了 。 所 以 , 代 
理 防火 墙 的 普及 范围 还 远 远 不 及 包 过 滤 型 防火 墙 , 所 以 就 目前 整个 庞大 的 软件 防火 墙 市 场 
来 说 ,代理 防火 墙 很 难 有 立足 之 地 。 
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3. 状态 监视 技术 

这 是 继 包 过 滤 技 术 和 应 用 代理 技术 后 发 展 的 防火 墙 技术 , 它 是 CheckPoint 技术 公司 在 
基于 包 过 滤 原 理 的 动态 包 过 滤 技 术 基 础 上 发 展 而 来 的 ,与 之 类 似 的 有 其 他 厂商 联合 发 展 的 
深度 包 检 测 (Deep Packet Inspection) 技 术 。 这 种 防火 墙 技术 通过 一 种 被 称 为 状态 监视 的 模 
块 ,在 不 影响 网 络 安 全 正常 工作 的 前 提 下 采用 抽取 相关 数据 的 方法 对 网 络 通信 的 各 个 层次 
实行 监测 ,并 根据 各 种 过 滤 规 则 做 出 安全 决策 。 

状态 监视 技术 在 保留 了 对 每 个 数据 包 的 头 部 ,协议 地址、 端口 .类 型 等 信息 进行 分 析 的 
基础 上 ,进一步 发 展 了 会 话 过 滤 (Session Filtering) 功 能 ,在 每 个 连接 建立 时 ,防火 墙 会 为 这 
个 连接 构造 一 个 会 话 状 态 , 里 面包 含 这 个 连接 数据 包 的 所 有 信息 ,以 后 这 个 连接 都 基于 这 个 
状态 信息 进行 。 这 种 检测 的 高 明之 处 是 能 对 每 个 数据 包 的 内 容 进 行 监视 ,一 旦 建立 了 一 个 
会 话 状 态 , 则 此 后 的 数据 传输 都 要 以 此 会 话 状 态 作 为 依据 。 例 如 ,一 个 连接 的 数据 包 源 端口 
是 8000, 那 么 在 以 后 的 数据 传输 过 程 里 防火 墙 都 会 审核 这 个 包 的 源 端口 还 是 不 是 8000, 否 
则 这 个 数据 包 就 被 拦截 ,而 且 会 话 状态 的 保留 是 有 时 间 限 制 的 ,在 超时 的 范围 内 如 果 没 有 再 
进行 数据 传输 ,这 个 会 话 状 态 就 会 被 丢弃 。 状 态 监视 可 以 对 包 内 容 进行 分 析 , 从 而 摆脱 了 传 
统 防 火 墙 仅 局 限于 几 个 包头 部 信息 的 检测 弱点 ,而 且 这 种 防火 墙 不 必 开放 过 多 端口 ,进一步 
杜绝 了 可 能 因为 开放 端口 过 多 而 带 来 的 安全 隐患 。 

由 于 状态 监视 技术 相当 于 结合 了 包 过 滤 技 术 和 应 用 代理 技术 ,因此 是 最 先进 的 ,但 是 由 
于 实现 技术 复杂 ,在 实际 应 用 中 还 不 能 做 到 真正 的 完全 有 效 的 数据 安全 检测 ,而 且 在 一 般 的 
计算 机 硬件 系统 上 很 难 设 计 出 基于 此 技术 的 完善 防御 措施 。 

4. 技术 展望 

防火 墙 作为 维护 网 络 安全 的 关键 设备 ,在 目前 采用 的 网 络 安全 的 防范 体系 中 ,占据 着 举 
足 轻重 的 位 置 。 伴 随 计算 机 技术 的 发 展 和 网 络 的 广泛 应 用 , 越 来 越 多 的 企业 与 个 体 都 遭遇 
到 不 同 程度 的 安全 难题 ,因此 市 场 对 防火 墙 的 设备 需求 和 技术 要 求 都 在 不 断 提 升 ,而 且 越 来 
越 严峻 的 网 络 安全 问题 也 要 求 防火 墙 技术 有 更 快 的 提高 ,否则 将 会 在 面 对 新 一 轮 入 侵 方 法 
时 束手无策 。 

多 功能 、 高 安全 性 的 防火 墙 可 以 让 用 户 网 络 更 加 无 忧 ,但 前 提 是 要 确保 网 络 的 运行 效 
率 ,因此 在 防火 墙 发 展 过 程 中 ,必须 始终 将 高 性 能 放 在 主要 位 置 ,目前 各 大 厂商 正在 朝 这 个 
方向 努力 ,而 且 丰 富 的 产品 功能 也 是 用 户 选择 防火 墙 的 依据 之 一 。 一 款 完 善 的 防火 墙 产 品 ， 
应 该 包含 访问 控制 .网 络 地 址 转换 ,代理 ,认证 ,日 志 审 计 等 基础 功能 ,并 拥有 自己 特色 的 安 
全 相关 技术 ,如 规则 简化 方案 等 ,明天 的 防火 墙 技 术 将 会 如 何 发 展 ,请 拭目以待 。 


1.2.3 防火 墙 的 功能 















































1， 防火 墙 是 网 络 安全 的 屏障 

一 个 防火 墙 (作为 阻塞 点 ,控制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ,并 通过 过 滤 不 
安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 , 所 以 网 络 环 
境 变 得 更 安全 。 例 如 ,防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 进出 受 保护 网 
络 , 这 样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同时 可 以 保 
护 网 络 免 受 基于 路 由 的 攻击 ,例如 ,IP 选项 中 的 源 路 由 攻击 和 ICMEP 重 定向 中 的 重 定向 路 
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径 。 防 火 墙 应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 

2. 防火 墙 可 以 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 安全 软件 (如 口令 ,加密 、 身 份 认证 、 审 
计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ,防火 墙 的 集中 安全 管理 
更 经 济 。 例 如 ,在 网 络 访问 时 ,一 次 一 密 口令 系统 和 其 他 的 身份 认证 系统 完全 可 以 不 必 分 散 
在 各 个 主机 上 ,而 是 集中 在 防火 墙 上 。 

3. 对 网 络 存 取 和 访问 进行 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 ,那么 ,防火 墙 就 能 记录 下 这 些 访问 并 做 出 日 志 记 录 , 同 
时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动 作 时 ,防火 墙 能 进行 适当 的 报警 ,并 提 
供 网 络 是 否 受到 监测 和 攻击 的 详细 信息 。 另 外 ,收集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 
重要 的 。 首 先 的 理由 是 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ,并 且 清 楚 防火 
墙 的 控制 是 否 充足 。 而 网 络 使 用 统计 对 网 络 需求 分 析 和 威胁 分 析 等 而 言 也 是 非常 重要 的 。 

4。 防止 内 部 信息 的 外 泄 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 内 部 网 重点 网 段 的 隔离 ,从 而 限制 了 局 部 重 
点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 ,隐私 是 内 部 网 络 非常 关心 的 问题 ,一 
个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 有 关 安 全 的 线索 而 引起 外 部 攻击 者 的 兴趣 ,甚至 
因此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 那些 透漏 内 部 细节 如 
Finger、DNS 等 服务 。Finger 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 ,最 后 登录 时 间 和 使 用 
Shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 者 可 以 知道 一 个 系 
统 使 用 的 频繁 程度 ,这 个 系统 是 否 有 用 户 正 在 连 线 上 网 ,这 个 系统 是 否 在 被 攻击 时 引起 注意 
等 。 防 火 墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 ,这 样 一 台 主 机 的 域名 和 IP 地 址 就 
不 会 被 外 界 所 了 解 。 

除了 安全 作用 ,防火 墙 还 支持 具有 Internet 服务 特性 的 企业 内 部 网 络 技术 体系 VPN。 
通过 VPN ,将 企 事 业 单位 在 地 域 上 分 布 在 全 世界 各 地 的 LAN 或 专用 子 网 ,有 机 地 连 成 一 个 
整体 ,不 仅 省 去 了 专用 通信 线路 ,而 且 为 信息 共享 提供 了 技术 保障 。 


1.3 防火墙 相 关 知 识 


下 面 介 绍 防火 墙 的 发 展 历程 。 
第 一 代 防 火 墙 技术 几乎 与 路 由 器 同时 出 现 , 采 用 了 包 过 滤 (Packet Filter) 技 术 。 如 
图 1-2 所 示 为 防火 墙 技术 的 简单 发 展 历史 。 





动态 包 过 滤 。 自 适 应 代理 


代理 
包 过 滤 电路 层 
1980 1 #990 2000 


本 本 本 丁丁 醒 本 是 本 天 玫 攻 加 耳 国 辐 本 病 全 条 | 
图 1-2 防火 墙 技术 的 简单 发 展 历史 
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1. 第 一 代 : 静态 包 过 滤 

静态 包 过 滤 防 火 墙根 据 定 义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 便 确 定 其 是 否 与 某 一 条 
包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制订 。 报 头 信息 中 包括 IP 源 地 址 、 
IP 目标 地 址 、 传 输 协 议 (TCP、UDP ICMP 等 )、TCP/UDP 目标 端口 .ICMP 消息 类 型 等 。 
































包 过 滤 类 型 的 防火 墙 要 遵循 的 一 条 基本 原则 是 最 小 特权 原则 , 即 明确 允许 那些 管理 员 和 希望 
通过 的 数据 包 , 禁 止 其 他 的 数据 包 。 主 要 针对 网 络 层 , 如 图 1-3 所 示 。 

表示 层 表示 层 表示 层 

会 话 层 会 话 层 会 话 层 

传输 层 传输 层 传输 层 

网 络 层 网 络 层 网 络 层 

数据 链 路 层 “| | 数据 链 路 层 数据 链 路 层 
物理 层 物理 层 物理 层 











图 1-3 简单 包 过 滤 防 火 墙 


防火 墙 最 基本 的 功能 : 根据 IP 地 址 做 转发 判断 。 由 于 黑客 们 可 以 采用 IP 地 址 欺骗 技 
术 , 伪 装 成 合法 地 址 的 计算 机 就 可 以 穿越 信任 这 个 地 址 的 防火 墙 了 。 根 据 地 址 的 转发 决策 
机 制 还 是 最 基本 和 必需 的 ,另外 要 注意 的 是 ,不 要 用 DNS 主机 名 建立 过 滤 表 ,对 DNS 的 伪 
造 比 IP 地 址 欺骗 要 容易 得 多 。 

2. 第 二 代 : 动态 包 过 滤 

动态 包 过 滤 防 火 墙 采用 动态 设置 包 过 滤 规 则 的 方法 ,避免 了 静态 包 过 滤 所 具有 的 问题 。 
这 种 技术 后 来 发 展 成 为 所 谓 的 状态 监测 技术 。 采 用 这 种 技术 的 防火 墙 对 通过 其 建立 的 每 一 
个 连接 都 进行 跟踪 ,并 且 根 据 需 要 可 动态 地 在 过 滤 规 则 中 增加 ,如 图 1-4 所 示 。 





























应 用 层 应 用 层 ”| 应 用 层 
表示 层 表示 层 | 表示 层 
会 话 层 会 话 层 。 | 会 话 层 
传输 层 传输 层 | 传输 层 
网 络 层 网 络 层 网 络 层 
数据 链 路 层 数据 链 路 层 中 数据 链 路 层 
物理 层 物理 层 | 物理 层 


























连接 状态 表 
图 1-4 动态 包 过 滤 防 火 墙 

1989 年 ,贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 推出 了 第 二 代 防 火 墙 , 即 电 
路 层 防 火 墙 ,同时 提出 了 第 三 代 防 火 墙 一 一 应 用 层 防 火 墙 (代理 防火 墙 ) 的 初步 结构 。 

3. 第 三 代 : 代理 防火 墙 

代理 防火 墙 也 叫 应 用 层 网 关 (Application Gateway) 防 火 墙 。 这 种 防火 墙 通过 一 种 代理 
(Proxy) 技 术 参 与 到 一 个 TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 这 样 的 防火 墙 处 理 
后 ,就 好 像 是 源 于 防火 墙 外 部 网 卡 一 样 ,从 而 可 以 达到 隐藏 内 部 网 结构 的 作用 。 这 种 类 型 的 
防火 墙 被 网 络 安全 专家 和 媒体 公认 为 是 最 安全 的 防火 墙 。 它 的 核心 技术 就 是 代理 服务 器 
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技术 。 

所 谓 代理 服务 器 ,是 指 代表 客户 处 理 在 服务 器 连接 请 求 的 程序 。 当 代理 服务 器 得 到 一 
个 客户 的 连接 意图 时 ,它们 将 核实 客户 请 求 , 并 经 过 特定 的 安全 化 的 Proxy 应 用 程序 处 理 连 
接 请 求 , 将 处 理 后 的 请 求 传递 到 真实 的 服务 器 上 ,然后 接受 服务 器 应 答 ,并 做 进一步 处 理 后 ， 
将 答复 交 给 发 出 请 求 的 最 终 客 户 。 代 理 服务 器 在 外 部 网 络 向 内 部 网 络 申请 服务 时 发 挥 了 中 
间 转 接 的 作用 ,如 图 1-5 所 示 。 





















































应 用 层 应 用 屋 ”|| ”应 用 怕 
表示 层 | 表示 层 表示 层 
会 话 层 会 话 层 会 话 层 
传输 层 传输 层 。 | 省 传输 导 
网 络 层 。 | | 网 络 屋 网 络 层 
数据 链 路 层 数据 链 路 层 数据 链 路 层 
物理 导 物 开导 物理 层 


图 1-5 传统 代理 型 防火 墙 


代理 类 型 防火 墙 的 最 突出 的 优点 就 是 安全 。 由 于 每 一 个 内 外 网 络 之 间 的 连接 都 要 通过 
Proxy 的 介入 和 转换 ,通过 专门 为 特定 的 服务 如 HTTP 编写 的 安全 化 的 应 用 程序 进行 处 
理 ,然后 由 防火 墙 本 身 提交 请 求 和 应 答 ,没有 给 内 外 网 络 的 计算 机 以 任何 直接 会 话 的 机 会 ， 
从 而 避免 了 入 侵 者 使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 

包 过 滤 类 型 的 防火 墙 是 很 难 彻 底 避 免 这 一 漏洞 的 ,就 像 一 个 陌生 人 要 向 重要 人 物 递交 
一 份 声明 一 样 ,如 果 先 将 这 份 声明 交 给 那个 重要 人 物 的 律师 ,律师 会 审查 这 份 声明 ,确认 没 
有 什么 负面 的 影响 后 才 由 律师 交 给 那个 重要 人 物 。 在 此 期 间 ,陌生 人 对 这 个 重要 人 物 的 存 
在 一 无 所 知 , 如 果 要 对 其 进行 侵犯 ,他 面 对 的 将 是 律师 ,而 律师 当然 比 那个 重要 人 物 更 加 清 
楚 该 如 何 对 付 这 种 人 。 

代理 防火 墙 的 最 大 缺点 就 是 速度 相对 比较 慢 , 当 用 户 对 内 外 网 络 网 关 的 吞吐 量 要 求 比 
较 高 时 (例如 要 求 达到 75 一 100Mby/s 时 ) ,代理 防火 墙 就 会 成 为 内 外 网 络 之 间 的 瓶颈 。 所 幸 
的 是 ,目前 用 户 接 入 Internet 的 速度 一 般 都 远 低 于 这 个 数字 。 在 现实 环境 中 ,要 考虑 使 用 包 
过 滤 类 型 防火 墙 来 满足 速度 要 求 的 情况 ,大 部 分 是 高 速 网 [ATM 或 千 兆 位 以 太 网 等 ) 之 间 
的 防火 墙 。 

4. 第 四 代 : 自 适应 代理 防火 墙 

自 适应 代理 技术 (Adaptive Proxy) 是 最 近 在 商业 应 用 防火 墙 中 实现 的 一 种 革命 性 的 技 
术 。 它 可 以 结合 代理 类 型 防火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 毫 不 损失 安全 
性 的 基础 之 上 将 代理 型 防火 墙 的 性 能 提高 10 倍 以 上 , 它 可 以 针对 应 用 层 检测 ,如 图 1-6 所 示 。 


















































应 用 层 应 用 层 应 用 层 
表示 层 表示 层 表示 层 
会 话 层 会 话 层 会 话 层 
传输 层 传输 层 传输 层 
网 络 层 1 网 络 层 网 络 层 
数据 链 路 层 数据 链 路 层 数据 链 路 层 
物理 层 物理 层 物理 层 





1-6 自 适应 代理 防火 墙 
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组 成 这 种 类 型 防火 墙 的 基本 要 素 有 两 个 : 自 适应 代理 服务 器 (Adaptive Proxy Server) 
与 动态 包 过 滤器 (Dynamic Packet Filter) 。 

在 自 适 应 代理 与 动态 包 过 滤器 之 间 存 在 一 个 控制 通道 。 在 对 防火 墙 进行 配置 时 ,用 户 
仅 将 所 需要 的 服务 类 型 .安全 级 别 等 信息 通过 相应 Proxy 的 管理 界面 进行 设置 就 可 以 了 。 
然后 , 自 适应 代理 就 可 以 根据 用 户 的 配置 信息 ,决定 是 使 用 代理 服务 从 应 用 层 代理 请 求 还 是 
从 网 络 层 转发 包 。 如 果 是 后 者 , 它 将 动态 地 通知 包 过 滤器 增 减 过 滤 规 则 ,满足 用 户 对 速度 和 
安全 性 的 双重 要 求 。 

1992 年 ,USC(United States Congress, 美 国 国会 ) 信 息 科 学 院 的 BobBraden 开发 出 了 
基于 动态 包 过 滤 (Dynamic Packet Filter) 技 术 的 第 四 代 防 火 墙 ,后 来 演变 为 目前 所 说 的 状态 
监视 (Stateful Inspection) 技 术 。1994 年 ,以 色 列 的 CheckPoint 公司 开发 出 了 第 一 个 采用 
这 种 技术 的 商业 化 的 产品 。 

1998 年 ,NAI 公司 推出 了 一 种 自 适应 代理 (Adaptive Proxy) 技 术 ,并 在 其 产品 Gauntlet 
Firewall for NT 中 得 以 实现 ,给 代理 类 型 的 防火 墙 赋予 了 全 新 的 意义 ,可 以 称 之 为 第 五 代 
防火 墙 。 

尽管 防火 墙 的 发 展 经 过 了 上 述 的 几 代 ,但 是 按照 防火 墙 对 内 外 来 往 数据 的 处 理 方法 ,大 
致 可 以 将 防火 墙 分 为 两 大 体系 : 包 过 滤 防 火 墙 和 代理 防火 墙 ( 应 用 层 网 关 防 火 墙 ) 。 前 者 以 
以 色 列 的 CheckPoint 防火 墙 和 Cisco 公司 的 PIX 防火 墙 为 代表 ,后 者 以 美国 NAI 公司 的 
Gauntlet 防火 墙 为 代表 。 











1.4 防火 墙 功能 指标 


1. 产品 类 型 

从 防火 墙 产品 和 技术 发 展 来 看 ,防火 墙 分 为 三 种 类 型 : 基于 路 由 器 的 包 过 滤 防 火 墙 、 基 
于 通用 操作 系统 的 防火 墙 ` 基 于 专用 安全 操作 系统 的 防火 墙 。 

1) LAN 接口 
列 出 支持 的 LAN 接口 类 型 : 防火 墙 所 能 保护 的 网 络 类 型 ,如 以 太 网 .快速 以 太 网 、 千 兆 
以 太 网 .ATM 令 牌 环 及 FDDI 等 。 
支持 的 最 大 LAN 接口 数 : 指 防火 墙 所 支持 的 局 域 网 络 接口 数目 ,也 是 其 能 够 保护 的 不 
同 内 网 数目 。 

服务 器 平台 : 防火 墙 所 运行 的 操作 系统 平台 (如 Linux、UNIX、Windows-NT、 专 用 安全 

2) 协议 支持 

支持 的 非 IP 协议 : 除 支持 IP 协议 之 外 ,还 支持 AppleTalk .DECnet\IPX 及 NETBEUI 
等 协议 。 

建立 VPN 通道 的 协议 : 构建 VPN 通道 所 使 用 的 协议 ,如 密 钥 分 配 等 , 主要 分 为 
IPSec、.PPTP ,专用 协议 等 。 

可 以 在 VPN 中 使 用 的 协议 : 在 VPN 中 使 用 的 协议 ,一 般 是 指 TCP/IP。 
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3) 加 密 支 持 

支持 的 VPN 加 密 标准 : VPN 中 支持 的 加 密 算法 ,如 数据 加 密 标 准 DES、3DES、RC4 以 
及 国内 专用 的 加 密 算法 。 

除了 VPN 之 外 ,加 密 的 其 他 用 途 : 加 密 除 用 于 保护 传输 数据 以 外 ,还 应 用 于 其 他 领域 ， 
如 身份 认证 、 报 文 完整 性 认证 、 密 钥 分 配 等 。 

提供 基于 硬件 的 加 密 : 是 否 提 供 硬件 加 密 方法 ,硬件 加 密 可 以 提供 更 快 的 加 密 速度 和 
更 高 的 加 密 强 度 。 

4) 认证 支持 

支持 的 认证 类 型 是 指 防火 墙 支持 的 身份 认证 协议 ,一 般 情况 下 具有 一 个 或 多 个 认证 
方案 ,如 RADIUS、Kerberos、TACACS/TACACS 十 .口令 方式 .数字 证 书 等 。 防 火 墙 能 够 
为 本 地 或 远程 用 户 提供 经 过 认证 与 授权 的 对 网 络 资源 的 访问 ,防火 墙 管理 员 必 须 决 定 客户 
以 何 种 方式 通过 认证 。 

列 出 支持 的 认证 标准 和 CA 互 操作 性 : 厂商 可 以 选择 自己 的 认证 方案 ,但 应 符合 相应 
的 国际 标准 ,该 项 指 所 支持 的 标准 认证 协议 ,以 及 实现 的 认证 协议 是 否 与 其 他 CA 产品 兼容 
互通 。 

支持 数字 证 书 : 是 否 支 持 数字 证 书 。 

5) 访问 控制 

通过 防火 墙 的 包 内 容 设置 : 包 过 滤 防 火 墙 的 过 滤 规 则 集 由 若干 条 规则 组 成 , 它 应 涵盖 
对 所 有 出 入 防火 墙 的 数据 包 的 处 理 方法 ,对 于 没有 明确 定义 的 数据 包 , 应 该 有 一 个 默认 处 理 
方法 ; 过 滤 规 则 应 易于 理解 ,易于 编辑 修改 ; 同时 应 具备 一 致 性 检测 机 制 ,防止 冲突 。IP 包 
过 滤 的 依据 主要 是 根据 IP 包头 部 信息 如 源 地 址 和 目的 地 址 进行 过 滤 ,如果 IP 头 中 的 协议 
字段 表明 封装 协议 为 ICMP、TCP 或 UDP, 那 么 再 根据 ICMP 头 信息 (类 型 和 代码 值 )、TCP 
头 信息 ( 源 端口 和 目的 端口 ) 或 UDP 头 信 息 ( 源 端口 和 目的 端口 ) 执 行 过滤 , 其 他 的 还 有 
MAC 地 址 过 滤 。 应 用 层 协 议 过 滤 要 求 主 要 包括 FTP 过 滤 、 基 于 RPC 的 应 用 服务 过 滤 、 基 
于 UDP 的 应 用 服务 过 滤 要 求 以 及 动态 包 过 滤 技 术 等 。 

在 应 用 层 提 供 代 理 支持 : 指 防火 墙 是 否 支持 应 用 层 代理 ,如 HTTP、FTP Telnet、 
SNMP 等 。 代 理 服 务 在 确认 客户 端 连 接 请 求 有 效 后 接管 连接 ,代为 向 服务 器 发 出 连接 请 
求 , 代 理 服务 器 应 根据 服务 器 的 应 答 , 决 定 如 何 响应 客户 端 请 求 , 代 理 服 务 进程 应 当 连 接 两 
个 连接 (客户 端 与 代理 服务 进程 间 的 连接 .代理 服务 进程 与 服务 器 端的 连接 ) 。 为 确认 连接 
的 唯一 性 与 时 效 性 ,代理 进程 应 当 维护 代理 连接 表 或 相关 数据 库 ( 最 小 字段 集合 ) ,为 提供 认 
证 和 授权 ,代理 进程 应 当 维护 一 个 扩展 字段 集合 。 

在 传输 层 提供 代理 支持 : 指 防火 墙 是 否 支持 传输 层 代理 服务 。 

允许 FTP 命令 防止 某 些 类 型 文件 通过 防火 墙 : 指 是 否 支 持 FTP 文件 类 型 过 滤 。 

用 户 操 作 的 代理 类 型 : 应 用 层 高 级 代理 功能 ,如 HTTP、POP3。 

支持 网 络 地 址 转换 (NAT): NAT 指 将 一 个 IP 地 址 域 映射 到 另 一 个 IP 地 址 域 ,从 而 为 
终端 主机 提供 透明 路 由 的 方法 。NAT 常用 于 私有 地 址 域 与 公有 地 址 域 的 转换 以 解决 IP 地 
址 匮乏 问题 。 在 防火 墙 上 实现 NAT 后 ,可 以 隐藏 受 保护 网 络 的 内 部 结构 ,在 一 定 程 度 上 提 
高 了 网 络 的 安全 性 。 

支持 硬件 口令 .智能 卡 : 是 否 支持 硬件 口令 .智能 卡 等 ,这 是 一 种 比较 安全 的 身份 认证 














14 防火 墙 技 术 及 应 用 实践 教程 





技术 。 

2. 防御 功能 

支持 病毒 扫描 : 是 否 支 持 防 病毒 功能 ,如 扫描 电子 邮件 附件 中 的 DOC 和 ZIP 文件 ， 
FTP 中 的 下 载 或 上 载 文件 内 容 , 以 发 现 其 中 包含 的 危险 信息 。 

提供 内 容 过 滤 : 是 否 支持 内 容 过 滤 ,信息 内 容 过 滤 指 防火 墙 在 HTTP、FTP、SMTP 等 
协议 层 , 根 据 过 滤 条 件 ,对 信息 流 进行 控制 ,防火 墙 控 制 的 结果 是 允许 通过 、 修 改 后 允许 通 
过 ,禁止 通过 ,记录 日 志 , 报 警 等 。 过 滤 内 容 主 要 指 URL、HTTP 携带 的 信息 一 一 JavaApplet、 
JavaScript、ActiveX 和 电子 邮件 中 的 Subject、To、From 域 等 。 

能 防御 的 DoS 攻击 类 型 : 拒绝 服务 攻击 (DoS) 就 是 攻击 者 过 多 地 占用 共享 资源 ,导致 
服务 器 超载 或 系统 资源 耗 尽 ,而 使 其 他 用 户 无 法 享有 服务 或 没有 资源 可 用 。 防 火 墙 通过 控 
制 、 检 测 与 报警 等 机 制 , 可 在 一 定 程 度 上 防止 或 减轻 DoS 黑客 攻击 。 

阻止 ActiveX .Java Cookies JavaScript 侵入 : 属于 HTTP 内 容 过 滤 ,防火 墙 应 该 能 够 
从 HTTP 页 面 剥离 JavaApplet、ActiveX 等 小 程序 及 从 Script\PHP 和 ASP 等 代码 检测 出 
危险 代码 或 病毒 ,并 向 浏览 器 用 户 报警 。 同 时 ,能 够 过 滤 用 户 上 载 的 CGI、ASP 等 程序 , 当 
发 现 危 险 代 码 时 ,向 服务 器 报警 。 

支持 转发 和 跟踪 ICMP(ICMP 代理 ) : 是 否 支持 ICMP 代理 ,ICMP 为 网 间 控 制 报 文 
协议 。 

提供 入 侵 实时 警告 ; 提供 实时 入 侵 告 警 功能 , 当 发 生 危 险 事件 时 ,是 否 能 够 及 时 报警 ， 
报警 的 方式 可 能 通过 邮件 .手机 等 。 

提供 实时 入 侵 防范 : 提供 实时 入 侵 响应 功能 , 当 发 生 和 人 侵 事 件 时 ,防火 墙 能 够 动态 响 
应 ,调整 安全 策略 ,阻挡 恶意 报 文 。 

识别 /记录 /防止 企图 进行 IP 地 址 欺骗 : IP 地 址 欺骗 指使 用 伪装 的 IP 地 址 作为 IP 包 
的 源 地 址 对 受 保护 网 络 进行 攻击 ,防火 墙 应 该 能 够 禁止 来 自 外 部 网 络 而 源 地 址 是 内 部 IP 地 
址 的 数据 包 通 过 。 

3. 管理 功能 

通过 集成 策略 集中 管理 多 个 防火 墙 : 是 否 支持 集中 管理 ,防火 墙 管理 是 指 对 防火 墙 具 
有 管理 权限 的 管理 员 行 为 和 防火 墙 运行 状态 的 管理 ,管理 员 的 行为 主要 包括 通过 防火 墙 的 
身份 鉴别 编写 防火 墙 的 安全 规则 、 配 置 防火 墙 的 安全 参数 、 查 看 防火 墙 的 日 志 等 。 防 火 墙 
的 管理 一 般 分 为 本 地 管理 .远程 管理 和 集中 管理 等 。 

提供 基于 时 间 的 访问 控制 : 是 否 提供 基于 时 间 的 访问 控制 。 

支持 SNMP 监视 和 配置 : SNMP 是 简单 网 络 管理 协议 的 缩写 。 

本 地 管理 : 是 指 管理 员 通过 防火 墙 的 Console 口 或 防火 墙 提供 的 键盘 和 显示 器 对 防火 
墙 进行 配置 管理 。 

远程 管理 : 是 指 管理 员 通 过 以 太 网 或 防火 墙 提供 的 广域网 接口 对 防火 墙 进行 管理 , 管 
理 的 通信 协议 可 以 基于 FTP Telnet HTTP 等 。 

支持 带宽 管理 : 防火 墙 能 够 根据 当前 的 流量 动态 调整 某 些 客户 端 占用 的 带宽 。 

负载 均衡 特性 : 负载 均衡 可 以 看 成 动态 的 端口 映射 , 它 将 一 个 外 部 地 址 的 某 一 TCP 或 
UDP 端口 映射 到 一 组 内 部 地 址 的 某 一 端口 ,负载 均衡 主要 用 于 将 某 项 服务 (如 HTTP) 分 捧 
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到 一 组 内 部 服务 器 上 以 平衡 负载 。 
失败 恢复 特性 (Failover) : 指 支 持 容错 技术 ,如 双 机 热 备份 .故障 恢复 , 双 电 源 备份 等 。 


记录 和 报表 功能 如 下 。 
防火 墙 处 理 完整 日 志 的 方法 : 防火 墙 规 定 了 对 于 符合 条 件 的 报 文 做 日 志 记 录 , 应 该 提 
供 日 志 信息 管理 和 存储 方法 。 


提供 自动 日 志 扫描 : 指 防火 墙 是 否 具 有 日 志 的 自动 分 析 和 扫描 功能 ,这 可 以 获得 更 详 
细 的 统计 结果 ,达到 事后 分 析 亡 羊 补 牢 的 目的 。 

提供 自动 报表 日 志 报 告 书写 器 : 防火 墙 实现 的 一 种 输出 方式 ,提供 自动 报表 和 日 志 报 
告 功能 。 

警告 通知 机 制 : 防火 墙 应 提供 告警 机 制 ,在 检测 到 入 侵 网 络 以 及 设备 运转 异常 情况 时 ， 
通过 警告 来 通知 管理 员 采 取 必 要 的 措施 ,包括 E-mail、 手 机 等 。 

提供 简要 报表 (按照 用 户 ID 或 IP 地 址 ): 防火 墙 实现 的 一 种 输出 方式 , 按 要 求 提供 报 
表 分 类 打印 。 

提供 实时 统计 : 防火 墙 实现 的 一 种 输出 方式 ,日 志 分 析 后 所 获得 的 智能 统计 结果 ,一 般 
是 图 表 显 示 。 

列 出 获得 的 国内 有 关 部 门 许可 证 类 别 及 号 码 : 这 是 防火 墙 合格 与 销售 的 关键 要 素 之 
一 ,其 中 包括 : 公安 部 的 销售 许可 证 \、 国 家 信息 安全 测评 中 心 的 认证 证 书 \ 总 参 的 国防 通信 
和 网 证 。 


1.5 防火墙 技 术 的 主要 发 展 趋势 


防火 墙 可 以 说 是 信息 安全 领域 最 成 熟 的 产品 之 一 ,但 是 成 熟 并 不 意味 着 发 展 的 停滞 , 恰 
恰 相 反 , 日 益 提 高 的 安全 需求 对 信息 安全 产品 提出 了 越 来 越 高 的 要 求 ,防火 墙 也 不 例外 ,下 
面 就 防火 墙 一 些 基本 层面 的 问题 来 谈 谈 防火 墙 产品 的 主要 发 展 趋势 。 

1. 模式 转变 

传统 的 防火 墙 通常 都 设置 在 网 络 的 边界 位 置 ,不 论 是 内 网 与 外 网 的 边界 ,还 是 内 网 中 的 
不 同 子 网 的 边界 ,以 数据 流 进 行 分 隔 , 形 成 安全 管理 区 域 。 但 这 种 设计 的 最 大 问题 是 ,恶意 
攻击 的 发 起 不 仅 来 自 于 外 网 ,内 网 环境 同样 存在 着 很 多 安全 隐患 ,而 对 于 这 种 问题 ,边界 式 
防火 墙 处 理 起 来 是 比较 困难 的 ,所 以 现在 越 来 越 多 的 防火 墙 产品 也 开始 体现 出 一 种 分 布 式 
结构 ,以 分 布 式 为 体系 进行 设计 的 防火 墙 产 品 以 网 络 节点 为 保护 对 象 ,可 以 最 大 限度 地 覆盖 
需要 保护 的 对 象 ,大 大 提升 安全 防护 强度 ,这 不 仅 是 单纯 的 产品 形式 的 变化 ,而 是 象征 着 防 
火 墙 产品 防御 理念 的 升华 。 

防火 墙 的 几 种 基本 类 型 可 以 说 各 有 优点 ,所 以 很 多 厂商 将 这 些 方式 结合 起 来 ,以 弥补 单 
纯 一 种 方式 带 来 的 漏洞 和 不 足 , 例 如 ,比较 简单 的 方式 就 是 既 针 对 传输 层面 的 数据 包 特 性 进 
行 过 滤 ,同时 也 针对 应 用 层 的 规则 进行 过 滤 , 这 种 综合 性 的 过 滤 设 计 可 以 充分 挖掘 防火 墙 核 
心 功能 的 能 力 , 可 以 说 是 在 自身 基础 之 上 进行 再 发 展 的 最 有 效 途 径 之 一 。 目 前 较为 先进 的 
一 种 过 滤 方 式 是 带 有 状态 检测 功能 的 数据 包 过 滤 , 其 实 这 已 经 成 为 现 有 防火 墙 产 品 的 一 种 
主流 检测 模式 了 ,可 以 预见 ,未 来 的 防火 墙 检测 模式 将 继续 整合 进 更 多 的 范畴 ,而 这 些 范 畴 
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的 配合 也 同时 获得 大 幅 的 提高 。 

就 目前 的 现状 来 看 ,防火 墙 的 信息 记录 功能 日 益 完善 ,通过 防火 墙 的 日 志 系 统 ,可 以 方 
便 地 追踪 过 去 网 络 中 发 生 的 事件 ,还 可 以 完成 与 审计 系统 的 连 动 ,具备 足够 的 验证 能 力 , 以 
保证 在 调查 取证 过 程 中 采集 的 证 据 符合 法 律 要 求 。 相 信 这 一 方面 的 功能 在 未 来 会 有 很 大 幅 
度 的 增强 ,同时 这 也 是 众多 安全 系统 中 一 个 需要 共同 面 对 的 问题 。 

2. 功能 扩展 

现在 的 防火 墙 产 品 已 经 呈现 出 一 种 集成 多 种 功能 的 设计 趋势 ,包括 VPN、AAA、PKI、 
IPSec 等 附加 功能 ,甚至 防 病毒 、 入 侵 检测 这 样 的 主流 功能 都 被 集成 到 防火 墙 产品 中 了 ,很 
多 时 候 已 经 无 法 分 辨 这样 的 产品 到 底 是 以 防火 墙 为 主 ,还 是 以 某 个 功能 为 主 了 , 即 其 已 经 逐 
渐 向 大 家 普遍 称 之 为 IPS( 入 侵 防 御 系统 ) 的 产品 转化 了 。 有 些 防火 墙 集成 了 防 病毒 功能 ， 
这 样 的 设计 会 对 管理 性 能 带 来 不 少 提升 ,但 同时 也 对 防火 墙 产 品 的 另外 两 个 重要 因素 产生 
了 影响 , 即 性 能 和 自身 的 安全 问题 ,所 以 建议 根据 具体 的 应 用 环境 来 做 综合 的 权衡 ,毕竟 这 
个 世界 暂时 还 不 存在 什么 完美 的 解决 方案 。 

防火 墙 的 管理 功能 一 直 在 迅猛 发 展 ,并 且 不 断 地 提供 一 些 方便 好 用 的 功能 给 管理 员 , 这 
种 趋势 仍 将 继续 ,更 多 新 颖 实效 的 管理 功能 会 不 断 地 涌现 出 来 ,例如 短信 功能 ,至 少 在 大 型 
环境 里 会 成 为 标准 配置 , 当 防 火 墙 的 规则 被 变更 或 类 似 的 被 预先 定义 的 管理 事件 发 生 之 后 ， 
报警 行为 会 以 多 种 途径 被 发 送 至 管理 员 处 ,包括 即时 的 短信 或 移动 电话 拨 叫 功能 ,以 确保 安 
全 响应 行为 在 第 一 时 间 被 启动 ,而 且 在 将 来 ,通过 类 似 手 机 、PDA 这 类 移动 处 理 设 备 也 可 以 
方便 地 对 防火 墙 进行 管理 ,当然 ,这 些 管理 方式 的 扩展 首先 需要 面 对 的 问题 还 是 如 何 保障 防 
火 墙 系统 自身 的 安全 性 不 被 破坏 。 

3. 性 能 提高 

未 来 的 防火 墙 产 品 由 于 在 功能 性 上 的 扩展 ,以 及 应 用 日 益 丰 富 、 流 量 日 益 复 杂 所 提出 的 
更 多 性 能 要 求 , 会 呈现 出 更 强 的 处 理性 能 要 求 , 而 寄 希 望 于 硬件 性 能 的 水 涨 船 高 肯定 会 出 现 
瓶颈 ,所 以 诸如 并 行 处 理 技术 等 经 济 实用 并 且 经 过 足够 验证 的 性 能 提升 手段 将 越 来 越 多 地 
应 用 在 防火 墙 产 品 平台 上 ; 相对 来 说 ,单纯 的 流量 过 滤 性 能 是 比较 容易 处 理 的 问题 ,而 与 应 
用 层 涉及 越 密 , 性 能 提高 所 需要 面 对 的 情况 就 会 越 复杂 ; 在 大 型 应 用 环境 中 ,防火 墙 的 规则 
库 至 少 有 上 万 条 记录 ,而 随 着 过 滤 的 应 用 种 类 的 提高 ,规则 数 往往 会 以 趋 进 几何 级 数 的 程度 
上 升 ,这 对 防火 墙 的 负荷 是 很 大 的 考验 ,使 用 不 同 的 处 理 器 完成 不 同 的 功能 可 能 是 解决 办 法 
之 一 ,例如 利用 集成 专 有 算法 的 协 处 理 器 来 专门 处 理 规则 判断 ,在 防火 墙 的 某 方面 性 能 出 现 
较 大 瓶颈 时 ,可 以 单纯 地 升级 某 个 部 分 的 硬件 来 解决 ,这 种 设计 有 些 已 经 应 用 到 现 有 的 产品 
中 了 ,也 许 未 来 的 防火 墙 产 品 会 呈现 出 非常 复杂 的 结构 ,当然 ,从 某 种 角度 来 说 ,这 种 状况 最 
好 还 是 不 要 发 生 。 

另外 根据 经 验 , 除 了 硬件 因素 之 外 ,规则 处 理 的 方式 及 算法 也 会 对 防火 墙 性 能 造成 很 明 
显 的 影响 ,所 以 在 防火 墙 的 软件 部 分 也 应 该 会 融入 更 多 先进 的 设计 技术 ,并 衍生 出 更 多 的 专 
用 平台 技术 ,以 期 缓解 防火 墙 的 性 能 要 求 。 

计算 机 网 络 成 为 重要 信息 交换 手段 ,服务 于 社会 生活 的 各 个 领域 。 因 此 , 认 清 网 络 的 脆 
弱 性 和 潜在 威胁 以 及 现实 客观 存在 的 各 种 安全 问题 ,采取 强 有 力 的 安全 策略 显得 十 分 重要 。 
而 Internet 所 具有 的 开放 性 、 国 际 性 和 自由 性 ,以 及 TCP/IP 协议 在 制定 时 本 身 所 具有 的 缺 
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陷 , 使 得 网 络 安全 问题 日 益 严 重 。 同 时 网 络 技术 的 发 展 也 使 得 网 络 病毒 .各 种 各 样 的 入 侵 行 
为 和 黑客 行为 变 得 更 加 难以 防范 。 防 火 墙 是 很 早 就 已 经 用 来 保护 网 络 安全 的 主要 机 制 。 然 
而 ,网 络 的 整体 安全 涉及 的 层面 很 广 , 防 火 墙 所 使 用 的 控制 技术 ,自身 的 安全 保护 能 力 、 网 络 
结构 、 安 全 策略 等 因素 都 会 影响 网 络 的 安全 性 。 所 以 有 必要 由 浅 入 深 地 来 掌握 防火 墙 技术 ， 
正确 使 用 防火 墙 的 控制 技术 。 

综 上 所 述 ,不 论 从 功能 还 是 从 性 能 来 讲 , 防 火 墙 产品 的 演进 并 不 会 放 慢 速 度 ,反而 产品 
的 丰富 程度 和 推出 速度 会 不 断 加 快 ,这 也 反映 了 安全 需求 不 断 上 升 的 一 种 趋势 ,而 相对 于 产 
品 本 身 某 个 方面 的 演进 ,更 值得 关注 的 还 是 平台 体系 结构 的 发 展 以 及 安全 产品 标准 的 发 布 ， 
这 些 变化 不 仅 关系 到 某 个 环境 的 某 个 产品 的 应 用 情况 ,更 关系 到 信息 安全 领域 的 未 来 。 








小 结 


本 章 首先 简单 讲解 了 防火 墙 的 概况 、 防 火 墙 的 概念 、 防 火 墙 技术 的 基本 概念 以 及 防火 墙 
技术 的 相关 概念 。 对 防火 墙 技术 原理 和 作用 进行 了 简单 的 介绍 ,阐述 了 防火 墙 中 的 技术 要 
点 的 概念 。 讲 述 了 防火 墙 的 类 型 及 其 发 展 趋势 。 此 外 ,结合 防火 墙 技术 知识 讲述 了 网 络 安 
全 的 相关 重要 性 。 


之 
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第 2 章 防火 墙 的 工作 原理 


防火 墙 是 指 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信 的 公共 网 ) 或 网 络 安全 域 
间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安 全 域 之 间 信 息 的 唯一 出 入 口 ,能 根据 企 
的 安全 政策 控制 (允许 ,拒绝 监测) 出 入 网 络 的 信息 流 , 且 本 身 具有 和 较 强 的 抗 攻 击 能 力 。 
是 提供 信息 安全 服务 ,实现 网 络 和 信息 安全 的 基础 设施 。 


2.1 了 防火墙 应 具备 的 特性 


当前 的 防火 墙 需要 具备 如 下 的 技术 、 功 能 、 特 性 , 才 可 以 成 为 企业 用 户 欢 迎 的 防火 墙 
HHo 

(1) 安全 成熟 ,国际 领先 的 特性 。 

(2) 具有 专 有 的 硬件 平台 和 操作 系统 平台 。 

(3) 采用 高 性 能 的 全 状态 检测 (Stateful Inspection) 技 术 。 

(4) 具有 优异 的 管理 功能 ,提供 优异 的 GUI 管理 界面 。 

(5) 支持 多 种 用 户 认 证 类 型 和 多 种 认证 机 制 。 

(6) 需要 支持 用 户 分 组 ,并 支持 分 组 认证 和 授权 。 

(7) 支持 内 容 过 滤 。 

(8) 支持 动态 和 静态 地 址 翻译 (NAT)。 

(9) 支持 高 可 用 性 , 单 台 防火 墙 的 故障 不 能 影响 系统 的 正常 运行 。 

(10) 支持 本 地 管理 和 远程 管理 。 

(11) 支持 日 志 管理 和 对 日 志 的 统计 分 析 。 

(12) 实时 告警 功能 ,在 不 影响 性 能 的 情况 下 ,支持 较 大 数量 的 连接 数 。 

(13) 在 保持 足够 的 性 能 指标 的 前 提 下 ,能够 提供 尽量 丰富 的 功能 。 

(14) 可 以 划分 很 多 不 同安 全 级 别 的 区 域 , 相 同安 全 级 别 可 控制 是 否 相 互通 信 。 

(15) 支持 在 线 升 级 。 

(16) 支持 虚拟 防火 墙 及 对 虚拟 防火 墙 的 资源 限制 等 功能 。 

(17) 防火 墙 能 够 参与 入侵 检测 。 


2.2 ”防火墙 的 工作 原理 


在 逻辑 上 ,防火 墙 是 一 个 分 离 器 ,一 个 限制 器 ,也 是 一 个 分 析 器 ,有 效 地 监控 了 内 部 网 和 


Internet 之 间 的 任何 活动 ,保证 了 内 部 网 络 的 安全 。 防 火 墙 可 以 是 硬件 型 的 ,所 有 数据 都 首 


先 





通过 硬件 芯片 监测 ,也 可 以 是 软件 类 型 的 ,软件 在 计算 机 上 和 运行 并 监控 ,其 实 硬件 型 也 就 
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是 芯片 里 固化 了 的 软件 ,但 是 它 不 占用 计算 机 CPU 处 理 时 间 , 功 能 非常 强大 ,处 理 速 度 很 
快 ,对 于 个 人 用 户 来 说 软件 型 更 加 方便 实在 。 

一 个 防火 墙 (作为 阻塞 点 ,控制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ,并 通过 过 滤 不 
安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ,所 以 网 络 环 
境 变 得 更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 进出 受 保护 网 络 ,这 
样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同时 可 以 保护 网 络 
免 受 基于 路 由 的 攻击 ,如 IP 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 。 防 火 墙 
应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 安全 软件 (如 口令 加密、 身份 认证 、 审 
计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ,防火 墙 的 集中 安全 管理 
更 经 济 。 例 如 在 网 络 访问 时 ,一 次 一 密 口令 系统 和 其 他 的 身份 认证 系统 完全 可 以 不 必 分 散 
在 各 个 主机 上 ,而 集中 在 防火 墙 上 。 

如 果 所 有 的 访问 都 经 过 防火 墙 ,那么 ,防火 墙 就 能 记录 下 这 些 访 问 并 做 出 日 志 记 录 , 同 
时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ,防火 墙 能 进行 适当 的 报警 ,并 提 
供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ,收集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 
重要 的 。 首 先 的 理由 是 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ,并 且 清楚 防火 
墙 的 控制 是 否 充足 。 而 网 络 使 用 统计 对 网 络 需求 分 析 和 威胁 分 析 等 而 言 也 是 非常 重要 的 。 

通过 利用 防火 墙 对 内 部 网 络 的 划分 .可 实现 内 部 网 重点 网 段 的 隔离 ,从 而 限制 了 局 部 重 
点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 ,隐私 是 内 部 网 络 非常 关心 的 问题 ,一 
个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 有 关 安 全 的 线索 而 引起 外 部 攻击 者 的 兴趣 ,甚至 
因此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 除 了 安全 作用 ,防火 墙 还 支持 具有 Internet 服务 
特性 的 企业 内 部 网 络 技术 体系 VPN。 通 过 VPN ,将 企 事 业 单 位 在 地 域 上 分 布 在 全 世界 各 
地 的 LAN 或 专用 子 网 有 机 地 连 成 一 个 整体 。 不 仅 省 去 了 专用 通信 线路 ,而 且 为 信息 共享 
提供 了 技术 保障 。 

2.2.1 防火 墙 术语 

在 继续 学 习 防火 墙 技术 前 ,需要 对 一 些 重 要 的 术语 有 一 些 认识 。 

1. 网 关 

网 关 是 在 两 个 设备 之 间 提 供 转发 服务 的 系统 。 网 关 的 范围 可 以 从 互联 网 应 用 程序 如 公 
共 网 关 接 口 (CGI) 到 在 两 台 主 机 间 处 理 流量 的 防火 墙 网 关 。 

2. 电路 级 网 关 

电路 级 网 关 用 来 监控 受信 任 的 客户 或 服务 器 与 不 受信 任 的 主机 间 的 TCP 握手 信息 ,这 
样 来 决定 该 会 话 是 否 合法 。 电 路 级 网 关 是 在 OSI 模型 中 会 话 层 上 来 过 滤 数 据 包 的 ,这 样 比 
包 过 滤 防 火 墙 要 高 两 层 。 另 外 ,电路 级 网 关 还 提供 一 个 重要 的 安全 功能 : 网 络 地 址 转移 
(NAT) 将 所 有 公司 内 部 的 IP 地 址 映射 到 一 个 “安全 ”的 IP 地 址 ,这 个 地 址 是 由 防火 墙 使 用 
的 。 有 两 种 方法 来 实现 这 种 类 型 的 网 关 . 一 种 是 由 一 台 主 机 充当 筛选 路 由 器 而 另 一 台 充 当 
应 用 级 防火 墙 。 另 一 种 是 在 第 一 个 防火 墙 主机 和 第 二 个 之 间 建 立 安全 的 连接 。 这 种 结构 的 
好 处 是 当 一 次 攻击 发 生 时 能 提供 容错 功能 。 
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3. 应 用 级 网 关 

应 用 级 网 关 可 以 工作 在 OSI 7 层 模 型 的 任意 一 层 上 ,能够 检查 进出 的 数据 包 , 通 过 网 关 
复制 传递 数据 ,防止 在 受信 任 服务 器 和 客户 机 与 不 受信 任 的 主机 间 直 接 建立 联系 。 应 用 级 
网 关 能 够 理解 应 用 层 上 的 协议 ,能够 做 复杂 一 些 的 访问 控制 ,并 做 精细 的 注册 。 通常 是 在 特 
殊 的 服务 器 上 安装 软件 来 实现 的 。 

4. 包 过 滤 

包 过 滤 是 处 理 网 络 上 基于 packet-by-packet 流量 的 设备 。 包 过 滤 设 备 允 许 或 阻止 包 ， 
典型 的 实施 方法 是 通过 标准 的 路 由 器 。 包 过 滤 是 几 种 不 同 防火 墙 的 类 型 之 一 。 

5. 代理 服务 器 

代理 服务 器 代表 内 部 客户 端 与 外 部 的 服务 器 通信 。 代 理 服务 器 这 个 术语 通常 是 指 一 个 
应 用 级 的 网 关 , 虽 然 电路 级 网 关 也 可 作为 代理 服务 器 的 一 种 。 

6. 网 络 地 址 转换 

网 络 地 址 转换 (Network Address Translation, NAT) 是 对 Internet 隐藏 内 部 地 址 ,防止 
内 部 地 址 公开 。 这 一 功能 可 以 克服 PP 寻 址 方式 的 诸多 限制 ,完善 内 部 寻 址 模式 。 把 未 注 凡 
IP 地 址 映射 成 合法 地 址 ,就 可 以 对 Internet 进行 访问 了 。NAT 的 另 一 个 名 字 是 IP 地 址 




















隐藏 。 
RFC1918 概述 了 地 址 并 且 IANA( 国 际 互联 网 代理 成 员 管理 局 ) 建 议 使 用 内 部 地 址 机 
制 ,以 下 地 址 作为 保留 地 址 。 


A 类 : 10.0. 0. 0 一 10.255. 255. 255 

Bs L72., L600-17. 3. 255..255 

C 类 : 192. 168.0.0 一 192. 168. 255. 255 

如 果 选 择 上 述 例 表 中 的 网 络 地 址 ,不 需要 向 任何 互联 网 授权 机 构 注册 即 可 使 用 。 使 用 
这 些 网 络 地 址 的 一 个 好 处 就 是 在 互联 网 上 永远 不 会 被 路 由 。 互 联网 上 所 有 的 路 由 器 发 现 源 
或 目标 地 址 含有 这 些 私有 网 络 ID 时 都 会 自动 地 丢弃 。 

7. 堡 全 主机 

堡 从 主机 是 一 种 被 强化 的 可 以 防御 进攻 的 计算 机 ,被 暴露 于 因特网 之 上 ,作为 进入 内 部 
网 络 的 一 个 检查 点 ,以 达到 把 整个 网 络 的 安全 问题 集中 在 某 个 主机 上 解决 ,从 而 省 时 省 力 ， 
不 用 考虑 其 他 主机 的 安全 的 目的 。 从 堡 从 主机 的 定义 可 以 看 到 , 堡 全 主机 是 网 络 中 最 容易 
受到 侵害 的 主机 ,所 以 堡 侄 主机 也 必须 是 自身 保护 最 完善 的 主机 。 可 以 使 用 单 宿主 保全 主 
机 。 多 数 情况 下 ,一 个 保健 主 机 使 用 两 块 网 卡 ,每 个 网 卡 连接 不 同 的 网 络 。 一 块 网 卡 连接 公 
司 的 内 部 网 络 用 来 管理 、 控 制 和 保护 ,而 另 一 块 连接 另 一 个 网 络 , 通 常 是 公 网 也 就 是 
Internet。 保 件 主 机 经 常 配 置 网 关 服 务 。 网 关 服 务 是 一 个 进程 来 提供 对 从 公 网 到 私有 网 络 
的 特殊 协议 路 由 ,反之 亦 然 。 在 一 个 应 用 级 的 网 关 里 , 想 使 用 的 每 一 个 应 用 程 协议 都 需要 一 
个 进程 。 因 此 , 想 通过 一 台 堡 全 主机 来 路 由 E-mail、Web 和 FTP 服务 时 ,必须 为 每 一 个 服 
务 都 提供 一 个 守护 进程 。 

8. 强化 操作 系统 

防火 墙 要 求 尽 可 能 只 配置 必需 的 少量 的 服务 。 为 了 加 强 操作 系统 的 稳固 性 ,防火 墙 安 
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装 程序 要 禁止 或 删除 所 有 不 需要 的 服务 。 多 数 的 防火 墙 产品 ,包括 Axent Raptor(www. 
axent. com), CheckPoint (www. checkpoint. com) 和 Network Associates Gauntlet (www. 
networkassociates. com) 都 可 以 在 目前 较 流行 的 操作 系统 上 运行 。 如 Axent Raptor 防火 墙 
就 可 以 安装 在 Windows NT Server 4.0、Solaris 及 HP-UX 操作 系统 上 。 理 论 上 来 讲 , 让 操 
作 系 统 只 提供 最 基本 的 功能 ,可 以 使 利用 系统 Bug 来 攻击 的 方法 非常 困难 。 最 后 , 当 加 强 
系统 时 ,还 要 考虑 到 除了 TCP/IP 协议 外 不 要 把 任何 协议 绑 定 到 外 部 网 卡 上 。 

9. 非 军事 化 区 域 

非 军 事 化 区 域 (Demilitarized Zone,DMZ) 是 一 个 小 型 网 络 ,存在 于 公司 的 内 部 网 络 和 
外 部 网 络 之 间 。 这 个 网 络 由 筛选 路 由 器 建立 ,有 时 是 一 个 阻塞 路 由 器 。DMZ 用 来 作为 一 个 
额外 的 缓冲 区 以 进一步 隔离 公 网 和 内 部 私有 网 络 。DMZ 另 一 个 名 字 叫 作 Service 
Network ,因为 它 非常 方便 。 这 种 实施 的 缺点 是 存在 于 DMZ 区 域 的 任何 服务 器 都 不 会 得 到 
防火 墙 的 完全 保护 。 

10. 筛选 路 由 器 

筛选 路 由 器 的 另 一 个 术语 就 是 包 过 滤 路 由 器 ,并 且 至 少 有 一 个 接口 是 连 向 公 网 的 ,如 
Internet。 它 对 进出 内 部 网 络 的 所 有 信息 进行 分 析 , 并 按照 一 定 的 安全 策略 一 一 信息 过 滤 规 
则 对 进出 内 部 网 络 的 信息 进行 限制 ,允许 授权 信息 通过 ,拒绝 非 授权 信息 通过 。 信 息 过 滤 规 
则 是 以 其 所 收 到 的 数据 包头 信息 为 基础 的 。 采 用 这 种 技术 的 防火 墙 优点 在 于 速度 快 、 实 现 
方便 ,但 安全 性 能 差 , 且 由 于 不 同 操作 系统 环境 下 TCP 和 UDP 端口 号 所 代表 的 应 用 服务 协 
议 类 型 有 所 不 同 , 故 兼容 性 差 。 

11. 阻塞 路 由 器 

阻塞 路 由 器 (也 叫 内 部 路 由 器 ) 保 护 内 部 的 网 络 使 之 免 受 Internet 和 周边 网 的 侵犯 。 内 
部 路 由 器 为 用 户 的 防火 墙 执行 大 部 分 的 数据 包 过 滤 工 作 。 它 允许 从 内 部 网 络 到 Internet 的 
有 选择 的 出 站 服务 。 这 些 服务 是 用 户 的 站 点 能 使 用 数据 包 过 滤 而 不 是 代理 服务 安全 支持 和 
安全 提供 的 服务 。 内 部 路 由 器 所 允许 的 在 煲 垒 主机 (在 周边 网 上 ) 和 用 户 的 内 部 网 之 间 服 务 
可 以 不 同 于 内 部 路 由 器 所 允许 的 在 Internet 和 用 户 的 内 部 网 之 间 的 服务 。 限 制 堡垒 主机 和 
内 部 网 之 间 服 务 的 理由 是 减少 由 此 而 导致 的 受到 来 自 堡垒 主机 侵袭 的 机 器 的 数量 。 

12. 防火 墙 默认 的 配置 

默认 情况 下 ,防火墙 可 以 配置 成 以 下 两 种 情况 。 

拒绝 所 有 的 流量 ,这 需要 在 网 络 中 特殊 指定 能 够 进入 和 出 去 的 流量 的 一 些 类 型 。 

允许 所 有 的 流量 ,这 种 情况 需要 特殊 指定 要 拒绝 的 流量 的 类 型 。 

大 多 数 防火 墙 默认 都 是 拒绝 所 有 的 流量 作为 安全 选项 。 一 旦 安装 防火 墙 后 ,需要 打开 
一 些 必要 的 端口 来 使 防火 墙 内 的 用 户 在 通过 验证 之 后 可 以 访问 系统 。 换 句 话 说 ,如 果 想 让 
员工 们 能 够 发 送 和 接收 E-mail, 必须 在 防火 墙 上 设置 相应 的 规则 或 开启 允许 POP3 和 
SMTP 的 进程 。 

13. 防火 墙 的 一 些 高 级 特性 

多 数 的 防火 墙 系统 组 合 包 过 滤 ,电路 级 网 关 和 应 用 级 网 关 的 功能 。 它 们 检查 单独 的 数 
据 包 或 整个 信息 包 , 然 后 利用 事先 制定 的 规则 来 强制 安全 策略 。 只 有 那些 可 接受 的 数据 包 
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才能 进出 整个 网 络 。 当 实施 一 个 防火 墙 策 略 时 ,这 三 种 防火 墙 类 型 可 能 都 需要 。 更 高 级 的 
防火 墙 提供 额外 的 功能 可 以 增强 网 络 的 安全 性 。 尽 管 不 是 必需 ,每 个 防火 墙 都 应 该 实施 日 
志 记 录 , 哪 怕 是 一 些 最 基本 的 。 

14. 认证 

防火 墙 是 一 个 合理 的 放置 提供 认证 方法 来 避 开 特定 的 IP 包 。 可 以 要 求 一 个 防火 墙 令 
牌 (Firewall Token) ,或 反 向 查询 一 个 IP 地 址 。 反 向 查询 可 以 检查 用 户 是 否 真正 地 来 自 它 
所 报告 的 源 位 置 。 这 种 技术 有 效 地 反击 IP 欺骗 的 攻击 。 防 火 墙 还 允许 终端 用 户 认 证 。 应 
用 级 网 关 或 代理 服务 器 可 以 工作 在 TCP/IP 协议 4 层 的 每 一 层 上 。 多 数 的 代理 服务 器 提供 
完整 的 用 户 账号 数据 库 ,结合 使 用 这 些 用 户 账号 数据 库 和 代理 服务 器 自 定义 的 选项 来 进行 
认证 。 代 理 服务 器 还 可 以 利用 这 些 账号 数据 库 来 提供 更 详细 的 日 志 。 

15. 日 志和 警报 

包 过 滤 或 筛选 路 由 器 一 般 在 默认 情况 下 为 了 不 降低 性 能 是 不 进行 日 志 记 录 的 。 永 远 不 
要 认为 防火 墙 会 自动 地 对 所 有 活动 创建 日 志 。 筛 选 路 由 器 只 能 记录 一 些 最 基本 的 信息 ,而 
电路 级 网 关 也 只 能 记录 相同 的 信息 ,但 除 此 之 外 还 包括 任何 NAT 解释 信息 。 因 为 要 在 防 
火 墙 上 创建 一 个 阻塞 点 ,潜在 的 黑客 必须 要 先 穿 过 它 。 如 果 放 置 全 面 记录 日 志 的 设备 并 在 
防火 墙 本 身 实 现 这 种 技术 ,那么 有 可 能 捕获 到 所 有 用 户 的 活动 包括 那些 黑客 。 可 以 确切 地 
知道 黑客 在 做 些 什么 并 得 到 这 些 活动 信息 并 审计 。 一 些 防火 墙 允 许 预先 配置 对 不 期 望 的 活 
动 做 任何 响应 。 防 火 墙 两 种 最 普通 的 活动 是 中 断 TCP/IP 连接 或 自动 发 出 警告 。 相 关 的 警 
报 机 制 包括 可 见 的 和 可 听 到 的 警告 。 


2.2.2 常用 防火 墙 技术 


防火 墙 通常 使 用 的 安全 控制 手段 主要 有 包 过 滤 、 状 态 检 测 、 代 理 服务 。 下 面 介绍 这 些 手 
段 的 工作 机 理 及 特点 。 

包 过 滤 技 术 是 一 种 简单 、 有 效 的 安全 控制 技术 , 它 通过 在 网 络 间 相互 连接 的 设备 上 加 载 
允许 ,禁止 来 自 某 些 特定 的 源 地 址 、 目 的 地 址 、TCP 端口 号 等 规则 ,对 通过 设备 的 数据 包 进 
行 检查 ,限制 数据 包 进出 内 部 网 络 。 包 过 滤 的 最 大 优点 是 对 用 户 透 明 ,传输 性 能 高 。 但 由 于 
安全 控制 层次 在 网 络 层 、 传 输 层 ,安全 控制 的 力度 也 只 限于 源 地 址 .目的 地 址 和 端口 号 ,因而 
只 能 进行 较为 初步 的 安全 控制 ,对 于 恶意 的 拥塞 攻击 ,内存 覆盖 攻击 或 病毒 等 高 层次 的 攻击 
手段 , 则 无 能 为 力 。 

状态 检测 是 比 包 过 滤 更 为 有 效 的 安全 控制 方法 。 对 新 建 的 应 用 连接 ,状态 检测 检查 预 
先 设置 的 安全 规则 ,允许 符合 规则 的 连接 通过 ,并 在 内 存 中 记录 下 该 连接 的 相关 信息 ,生成 
状态 表 。 对 该 连接 的 后 续 数 据 包 , 只 要 符合 状态 表 , 就 可 以 通过 。 这 种 方式 的 好 处 在 于 : 由 
于 不 需要 对 每 个 数据 包 进行 规则 检查 ,而 是 一 个 连接 的 后 续 数 据 包 (通常 是 大 量 的 数据 包 ) 
通过 散 列 算法 ,直接 进行 状态 检查 ,从 而 使 得 性 能 得 到 了 较 大 提高 ; 而 且 , 由 于 状态 表 是 动 
态 的 ,因而 可 以 有 选择 地 动态 地 开通 1024 号 以 上 的 端口 ,使 得 安全 性 得 到 进一步 的 提高 。 

1. 包 过 滤 防 火 墙 

包 过 滤 防 火 墙 一 般 在 路 由 器 上 实现 ,用 以 过 滤 用 户 定义 的 内 容 , 如 IP 地址 。 包 过 滤 防 
火 墙 的 工作 原理 是 : 系统 在 网 络 层 检 查 数据 包 , 与 应 用 层 无 关 。 这 样 系统 就 具有 很 好 的 传 
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输 性 能 ,可 扩展 能 力 强 。 但 是 , 包 过 滤 防 火 墙 的 安全 性 有 一 定 的 缺陷 ,因为 系统 对 应 用 层 信 
息 无 感知 ,也 就 是 说 ,防火 墙 不 理解 通信 的 内 容 ,所 以 可 能 被 黑客 所 攻破 ,如 图 2-1 所 示 。 


到 IP a 
-— ic | | 寿 [Re 


图 2-1 包 过 滤 防 火 墙 工 作 原理 








2. 应 用 网 关 防火 墙 

应 用 网 关 防 火 墙 检查 所 有 应 用 层 的 信息 包 , 并 将 检查 的 内 容 信息 放 和 决策 过 程 ,从 而 提 
高 网 络 的 安全 性 。 然 而 ,应 用 网 关 防 火 墙 是 通过 打破 客户 /服务 器 模式 实现 的 。 每 个 客户 / 
服务 器 通信 需要 两 个 连接 : 一 个 是 从 客户 端 到 防火 墙 , 另 一 个 是 从 防火 墙 到 服务 器 。 另 外 ， 
每 个 代理 需要 一 个 不 同 的 应 用 进程 ,或 一 个 后 台 运 行 的 服务 程序 ,对 每 个 新 的 应 用 必须 添加 
针对 此 应 用 的 服务 程序 ,否则 不 能 使 用 该 服务 。 所 以 ,应 用 网 关 防 火 墙 具 有 可 伸缩 性 差 的 缺 
点 。 应 用 网 关 防 火 墙 的 工作 原理 如 图 2-2 所 示 。 
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2-2 应 用 网 关 防 火 墙 工作 原理 
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3. 状态 检测 防火 墙 

状态 检测 防火 墙 基本 保持 了 简单 包 过 滤 防 火 墙 的 优点 ,性 能 比较 好 ,同时 对 应 用 是 透明 
的 ,在 此 基础 上 ,对 于 安全 性 有 了 大 幅 提 升 。 这 种 防火 墙 握 弃 了 简单 包 过 滤 防 火 墙 仅 考察 进 
出 网 络 的 数据 包 , 不 关心 数据 包 状 态 的 缺点 ,在 防火 墙 的 核心 部 分 建立 状态 连接 表 , 维 护 了 
连接 ,将 进出 网 络 的 数据 当成 一 个 个 的 事件 来 处 理 。 可 以 这 样 说 ,状态 检测 包 过 滤 防 火 墙 规 
范 了 网 络 层 和 传输 层 行为 ,而 应 用 代理 型 防火 墙 则 是 规范 了 特定 的 应 用 协议 上 的 行为 。 状 
态 检测 防火 墙 的 工作 原理 如 图 2-3 所 示 。 


和 IP 

:=: 二 二 Es 三 [只 检查 报头 
开始 攻击 

建立 连接 状态 表 


图 2-3 状态 检测 防火 墙 工作 原理 




















4. 复合 型 防火 墙 

复合 型 防火 墙 是 指 综合 了 状态 检测 与 透明 代理 的 新 一 代 的 防火 墙 ,进一步 基于 ASIC 
架构 ,把 防 病毒 内容 过 滤 整 合 到 防火 墙 里 ,其 中 还 包括 VPN、IDS 功能 ,多 单元 融 为 一 体 ， 
是 一 种 新 突破 。 常 规 的 防火 墙 并 不 能 防止 隐蔽 在 网 络 流量 里 的 攻击 ,在 网 络 界面 对 应 用 层 
扫描 ,把 防 病毒 、 内 容 过 滤 与 防火 墙 结合 起 来 ,这 体现 了 网 络 与 信息 安全 的 新 思路 。 它 在 网 
络 边界 实施 OSI 第 7 层 的 内 容 扫 描 , 实 现 了 实时 在 网 络 边 缘 部 署 病毒 防护 、 内 容 过 滤 等 应 
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用 层 服务 措施 。 复 合 型 防火 墙 工 作 原 理 如 图 2-4 所 示 。 


IP 
志 二 二 | Tc = 检查 整个 报 文 内 容 
开始 攻击 
建立 连接 状态 表 


图 2-4 复合 型 防火 墙 工作 原理 
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5. 4 类 防火 墙 的 对 比 

(1) 包 过 滤 防 火 墙 : 不 检查 数据 区 ,不 建立 连接 状态 表 , 前 后 报 文 无 关 , 应 用 层 控 制 
很 弱 。 

(2) 应 用 网 关 防 火 墙 : 不 检查 IP、TCP 报头 ,不 建立 连接 状态 表 , 网 络 层 保护 比较 弱 。 

(3) 状态 检测 防火 墙 : 不 检查 数据 区 ,建立 连接 状态 表 , 前 后 报 文 相关 ,应 用 层 控 制 
很 弱 。 

(4) 复合 型 防火 墙 : 可 以 检查 整个 数据 包 内 容 , 根 据 需 要 建立 连接 状态 表 , 网 络 层 保护 
强 , 应 用 层 控制 细 , 会 话 控制 较 弱 。 





2.3 建立 防火 墙 


在 准备 和 建立 一 个 防火 墙 设 备 时 要 高 度 重视 。 以 前 ,堡垒 主 机 这 个 术语 是 指 所 有 直接 
连 和 人 公 网 的 设备 。 现 在 , 它 经 常 涉及 防火 墙 设备 。 堡 公主 机 可 以 是 三 种 防火 墙 中 的 任 一 种 
类 型 : 包 过 滤 .电路 级 网 关 、 应 用 级 网 关 。 

当 建 设 堡垒 主机 时 要 特别 小 心 。 堡 人 又 主机 的 定义 就 是 可 公共 访问 的 设备 。 当 Internet 
用 户 企图 访问 网 络 上 的 资源 时 ,首先 进入 的 机 器 就 是 堡垒 主机。 因为 煲 垒 主机 是 直接 连接 
到 Internet 上 的 ,其 上 面 的 所 有 信息 都 暴露 在 公 网 之 上 。 这 种 高 调 的 暴露 规定 了 硬件 和 软 
件 的 配置 。 煲 公主 机 就 好 像 是 在 军事 基地 上 的 警卫 一 样 。 警 卫 必 须 检 查 每 个 人 的 身份 来 确 
定 他 们 是 否 可 以 进入 基地 及 可 以 访问 基地 中 的 什么 地 方 ,警卫 还 要 时 刻 准备 好 强制 阻止 进 
入 。 同 样 地 ,堡垒 主机 必须 检查 所 有 进入 的 流量 并 强制 执行 在 安全 策略 里 所 指定 的 规则 。 
它们 还 必须 准备 好 对 付 从 外 部 来 的 攻击 和 可 能 来 自 内 部 的 资源 。 堡 又 主机 还 有 日 志 记录 及 
警报 的 特性 来 阻止 攻击 。 有 时 检测 到 一 个 威胁 也 会 采取 行动 。 

1. 建立 设计 规则 

当 构造 防火 墙 设备 时 ,经 常 要 遵循 下 面 两 个 主要 的 概念 。 

第 一 ,保持 设计 的 简单 性 。 

第 二 ,要 计划 好 一 旦 防火 墙 被 渗透 应 该 怎么 办 。 

1) 保持 设计 的 简单 性 

一 个 黑客 渗透 系统 最 常见 的 方法 就 是 利用 安装 在 堡垒 主机 上 不 注意 的 组 件 。 建 立 堡垒 
主机 时 要 尽 可 能 使 用 较 小 的 组 件 , 无 论 硬件 还 是 软件 。 堡 又 主机 的 建立 只 需 提 供 防火 墙 功 
能 。 在 防火 墙 主机 上 不 要 安装 像 Web 服务 的 应 用 程序 服务 ,要 删除 堡垒 主机 上 所 有 不 必需 
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的 服务 或 守护 进程 。 在 堡垒 主机 上 运行 少量 的 服务 给 潜在 的 黑客 很 少 的 机 会 穿 过 防火 墙 。 

2) 安排 事故 计划 

如 果 已 设计 好 防火 墙 性 能 ,只 有 通过 防火 墙 才能 允许 公共 访问 网 络 。 当 设计 防火 墙 时 
安全 管理 员 要 对 防火 墙 主 机 崩溃 或 危及 的 情况 做 出 计划 。 如 果 仅 仅 是 用 一 个 防火 墙 设备 把 
内 部 网 络 和 公 网 隔离 开 , 那 么 黑客 渗透 进 防 火 墙 后 就 会 对 内 部 的 网 络 有 着 完全 访问 的 权限 。 
为 了 防止 这 种 渗透 ,要 设计 几 种 不 同 级 别 的 防火 墙 设备 。 不 要 依赖 一 个 单独 的 防火 墙 保护 
独立 的 网 络 。 如 果 安 全 受到 损害 , 那 安 全 策略 要 确定 该 做 些 什么 。 要 采取 哪些 特殊 的 步 又 ， 
还 应 包括 : 

(1) 创建 同样 的 软件 备份 。 

(2) 配置 同样 的 系统 并 存储 到 安全 的 地 方 。 

(3) 确保 所 有 需要 安装 到 防火 墙 上 的 软件 都 容易 备份 ,这 包括 要 有 恢复 磁盘 。 

2. 堡垒 主机 的 类 型 

当 创建 堡垒 主机 时 ,要 记 住 它 是 在 防火 墙 策略 中 起 作用 的 。 识 别 煲 垒 主机 的 任务 可 以 
帮助 决定 需要 什么 和 如 何 配置 这 些 设 备 。 下 面 将 讨论 三 种 常见 的 堡垒 主机 类 型 。 这 些 类 型 
不 是 单独 存在 的 , 且 多 数 防火 墙 都 属于 这 三 类 中 的 一 种 。 

1) 单 宿主 堡垒 主机 

单 宿 主 堡垒 主机 是 有 一 块 网 卡 的 防火 墙 设 备 。 单 宿主 堡垒 主机 通常 是 用 于 应 用 级 网 关 
防火 墙 。 外 部 路 由 器 配置 把 所 有 进来 的 数据 发 送 到 堡垒 主机 上 ,并 且 所 有 内 部 客户 端 配置 
成 所 有 出 去 的 数据 都 发 送 到 这 台 堡 又 主机 上 ,然后 堡垒 主机 以 安全 方针 作为 依据 检验 这 些 
数据 。 这 种 类 型 的 防火 墙 主要 的 缺点 就 是 可 以 重 配置 路 由 器 使 信息 直接 进入 内 部 网 络 , 而 
完全 绕 过 堡垒 主机 。 还 有 ,用 户 可 以 重新 配置 他 们 的 机 器 绕 过 堡垒 主机 把 信息 直接 发 送 到 
路 由 器 上 。 

2) 双 宿 主 堡垒 主机 

双 宿 主 堡垒 主机 结构 是 围绕 着 至 少 具有 两 块 网 卡 的 双 宿 主 主机 而 构成 的 。 双 宿主 主机 
内 外 的 网 络 均 可 与 双 宿 主 主 机 实施 通信 ,但 内 外 网 络 之 间 不 可 直接 通信 ,内 外 部 网 络 之 间 的 
数据 流 被 双 宿 主 主机 完全 切断 。 

双 宿 主 主机 可 以 通过 代理 或 让 用 户 直接 注册 到 其 上 来 提供 很 高 程度 的 网 络 控制 。 它 采 
用 主机 取代 路 由 器 执行 安全 控制 功能 , 故 类 似 于 包 过 滤 防 火 墙 。 双 宿主 主机 即 一 台 配 有 多 
个 网 络 接口 的 主机 , 它 可 以 用 来 在 内 部 网 络 和 外 部 网 络 之 间 进 行 寻 址 。 当 一 个 黑客 想 要 访 
问 内 部 设备 时 ,他 必须 先 要 攻破 双 宿 主 保全 主机 ,这 有 希望 让 用 户 有 足够 的 时 间 阻 止 这 种 安 
全 侵入 和 做 出 反应 。 

3) 单 目的 堡垒 主机 
单 目的 堡垒 主机 既 可 以 是 单 堡垒 也 可 以 是 多 堡垒 主机 。 根 据 公 司 的 改变 ,经 常 需要 新 
的 应 用 程序 和 技术 。 很 多 时 候 这 些 新 的 技术 不 能 被 测试 并 成 为 主要 的 安全 突破 口 。 要 为 这 
些 需要 创建 特定 的 堡垒 主机 。 在 上 面 安 装 未 测试 过 的 应 用 程序 和 服务 不 要 危及 防火 墙 设 
备 。 使 用 单 目的 堡垒 主机 人 允许 强制 执行 更 严格 的 安全 机 制 。 

举 个 例子 ,公司 可 能 决定 实施 一 个 新 类 型 的 流程 序 . 假 设 公司 的 安全 策略 需要 所 有 进出 
的 流量 都 要 通过 一 个 代理 服务 器 送出 ,要 为 这 个 表 的 流程 序 单独 地 创建 一 个 新 代理 服务 器 。 
在 这 个 新 的 代理 服务 器 上 ,要 实施 用 户 认证 和 拒绝 IP 地 址 。 使 用 这 个 单独 的 代理 服务 器 ， 
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不 要 危害 到 当前 的 安全 配置 并 且 可 以 实施 更 严格 的 安全 机 制 如 认证 。 

4) 内 部 堡垒 主机 

内 部 堡垒 主机 是 标准 的 单 堡垒 或 多 堡垒 主机 ,存在 于 公司 的 内 部 网 络 中 。 它 们 一 般 用 
作 应 用 级 网 关 , 接 收 所 有 从 外 部 堡垒 主 机 进来 的 流量 。 当 外 部 防火 墙 设备 受到 损害 时 ,提供 
额外 的 安全 级 别 。 所 有 内 部 网 络 设备 都 要 配置 成 通过 内 部 堡垒 主 机 通信 ,这 样 当 外 部 堡 侄 
主机 受到 损害 时 不 会 造成 影响 。 
四 种 常见 的 防火 墙 设计 都 提供 一 个 确定 的 安全 级 别 ,一 个 简单 的 规则 是 越 敏 感 的 数据 
就 要 采取 越 广泛 的 防火 墙 策略 ,这 四 种 防火 墙 的 实施 都 是 建立 一 个 过 滤 的 矩阵 和 能 够 执行 
和 保护 信息 的 点 。 

这 四 种 选择 是 : 筛选 路 由 器 ,. 单 宿主 堡垒 主机 、 双 宿主 堡垒 主机 、 屏 蔽 子 网 。 

筛选 路 由 器 的 选择 是 最 简单 的 ,因此 也 是 最 常见 的 ,大 多 数 公司 至 少 使 用 一 个 筛选 路 由 
器 作为 解决 方案 ,因为 所 有 需要 的 硬件 已 经 投入 使 用 。 用 于 创建 筛选 主 机 防火 墙 的 两 个 选 
择 是 单 宿主 堡垒 主机 和 双 宿 主 堡 人 又 主机。 不管 是 电路 级 还 是 应 用 级 网 关 的 配置 都 要 求 所 有 
的 流量 通过 堡垒 主机 。 最 后 一 个 常用 的 方法 是 筛选 子 网 防火 墙 ,利用 额外 的 包 过 滤 路 由 器 
来 达到 另 一 个 安全 的 级 别 。 

防火 墙 就 是 一 种 过 滤 塞 ,可 以 让 喜欢 的 东西 通过 这 个 塞 子 , 别 的 东西 都 统统 过 滤 掉 。 在 
网 络 的 世界 里 ,要 由 防火 墙 过 滤 的 就 是 承载 通信 数据 的 通信 和 包 。 

最 简单 的 防火 墙 是 以 太 网 桥 , 大 多 数 防火 墙 采用 的 技术 和 标准 可 谓 种 类 繁多 。 这 些 防 
火 墙 的 形式 多 种 多 样 。 有 的 取代 系统 上 已 经 装备 的 TCP/IP 协议 栈 ,. 有 的 在 已 有 的 协议 栈 
上 建立 自己 的 软件 模块 ,有 的 干脆 就 是 独立 的 一 套 操作 系统 。 还 有 一 些 应 用 型 的 防火 墙 只 
对 特定 类 型 的 网 络 连 接 提供 保护 (例如 SMTP 或 者 HTTP 等 ) 。 还 有 一 些 基于 硬件 的 防火 
墙 产 品 其 实 应 该 归 和 安全 路 由 器 一 类 。 以 上 的 产品 都 可 以 叫 作 防 火 墙 ,因为 它们 的 工作 方 
式 都 是 一 样 的 : 分 析出 人 防火 墙 的 数据 包 ,决定 放行 还 是 把 它们 扔 掉 。 














2.4 高 端 咏 火 墙 未 来 发 展 趋势 


1. 高 性 能 的 防火 墙 需求 

高 性 能 防火 墙 是 未 来 发 展 的 趋势 ,突破 高 性 能 的 极限 就 是 对 防火 墙 硬件 结构 的 调整 。 
而 对 于 高 端 防火 墙 的 技术 实现 ,现今 主要 分 为 三 种 方式 : 基于 通用 处 理 器 的 工控 机 架构 、 基 
于 NP 技术、 基于 ASIC 芯片 技术 。 工 控 机 架构 最 大 的 优点 是 灵活 性 ,但 在 大 数据 流量 的 网 
络 环境 中 处 理 效率 会 受 影响 ,所 以 在 高 性 能 这 一 方面 ,将 面临 淘汰 和 走 进 低 端 产品 市 场 的 趋 
势 。NP 技术 是 近年 来 的 一 个 技术 突破 点 ,其 优势 在 于 网 络 底层 数据 的 转发 和 处 理 , 但 如 果 
要 实现 安全 策略 的 控制 和 审核 ,特别 是 对 于 应 用 层 的 深度 控制 方面 还 需要 大 量 的 研发 工作 ， 
相对 于 接口 方面 的 开发 难度 ,已 经 局 限 了 它 更 深层 次 的 发 展 。ASIC 技术 虽然 开发 难度 大 ， 
但 却 能 够 保障 系统 的 效率 并 很 好 地 集成 防火 墙 的 功能 ,在 今后 网 络 安全 防护 的 路 途上 ,防火 
墙 采 用 ASIC 芯片 技术 将 要 成 为 主流 。 

2. 管理 接口 和 SOC 的 整合 

如 果 把 信息 安全 技术 看 作 一 个 整体 行为 ,那么 面 对 防 火 墙 未 来 的 发 展 趋势 ,管理 接口 和 
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SOC 整合 也 必须 考虑 在 内 ,毕竟 安全 是 一 个 整体 ,而 不 是 靠 单一 产品 所 能 解决 的 。 随 着 安 
全 管理 和 安全 运营 工作 的 推行 ,SOC 作为 一 种 安全 管理 的 解决 方案 已 经 得 到 大 力 推广 。 安 
全 管理 是 为 了 更 有 效 地 把 安全 风险 控制 在 可 控 的 范围 内 ,从 而 进行 降低 和 避免 信息 安全 事 
件 的 发 生 。 而 防火 墙 作为 一 种 安全 访问 控制 机 制 产 品 ,要 想 在 安全 管理 中 起 到 有 效 的 作用 ， 
必须 考虑 与 SOC 的 整合 问题 ,这 就 涉及 各 个 厂家 对 防火 墙 技术 开发 过 程 中 的 通用 性 和 合作 
问题 。 

3. 抗 DoS 能 力 

俗话 说 : 道 高 一 尺 , 魔 高 一 丈 。 从 近年 来 网 络 恶 性 攻击 事件 情况 分 析 来 看 ,解决 DoS 攻 
击 也 是 防火 墙 必须 要 考虑 的 问题 。 作 为 网 络 的 边界 设备 ,一 旦 发 生 争 用 带宽 和 大 流量 攻击 
事件 后 ,往往 最 先 失去 抵抗 能 力 的 就 是 防火 墙 。 而 提高 防火 墙 抗击 DoS 能 力 的 技术 问题 ， 
也 在 缠绕 着 广大 防火 墙 厂商 。 在 新 型 技术 不 断 更 新 的 今天 ,各 个 厂家 已 经 把 矛头 指向 了 解 
决 DoS 问题 。 利 用 ASIC 芯片 架构 的 防火 墙 ,可 以 利用 自身 处 理 网 络 流量 速度 快 的 能 力 ,来 
解决 存在 于 这 个 问题 上 的 攻击 事件 。 但 是 ,解决 这 个 问题 并 不 是 单单 靠 ASIC 芯片 架构 就 
可 以 的 ,更 多 的 还 是 面向 对 应 用 层 攻击 的 问题 ,有 待 于 新 技术 的 出 现 。 

4, 减 慢 蠕 虫 和 垃圾 邮件 的 传播 速度 的 功能 

网 络 的 快速 发 展 , 已 经 成 了 病毒 滋生 的 温床 ,而 垃圾 邮件 的 出 现 ,更 加 扩大 了 网 络 安全 
威胁 的 风险 。 根 据 计 算 机 安全 厂商 MessageLabs 公司 的 报告 ,已 经 看 到 垃圾 邮件 和 病毒 制 
造 者 联手 开发 更 加 智能 化 的 病毒 走向 趋势 .并 通过 电子 邮件 进行 病毒 传播 。 作 为 网 络 边界 
的 安全 设备 ,未 来 防火 墙 发 展 趋势 中 ,减缓 和 降低 蠕虫 病毒 与 垃圾 邮件 的 传播 速度 ,是 必 不 
可 少 的 一 部 分 。 

对 于 防火 墙 来 说 , 仅 靠 支持 防 病毒 和 防 垃圾 邮件 功能 还 远 远 不 够 ,即使 能 够 进行 有 效 的 
联动 功能 ,那么 这 种 情况 下 的 防火 墙 产 品 和 现今 具备 的 情况 来 看 ,也 只 有 高 速 处 理 能 力 的 硬 
件 , 才 能 达到 岩 入 病毒 引擎 和 处 理 垃圾 邮件 引擎 ,来 完成 真正 意义 上 的 安全 防护 解决 方案 。 
而 仅 靠 支持 和 联动 ,那么 这 种 情况 下 ,自身 不 具备 而 需要 第 三 方 产品 的 话 , 并 不 能 在 真正 意 
义 上 解决 问题 。 加 强 防 火 墙 在 数据 处 理 中 的 粒度 和 力度 ,已 经 成 为 未 来 防火 墙 在 数据 检测 
高 粒度 方面 的 发 展 趋势 。 

5. 对 入 侵 行 为 的 智能 切断 

安全 是 一 个 动态 的 过 程 ,而 对 于 入 侵 行为 的 预见 和 智能 切断 ,作为 边界 安全 设备 防火 墙 
来 说 ,也 是 未 来 发 展 的 一 大 课题 。 从 IPS 的 出 发 角度 考虑 ,未 来 防火 墙 必须 具备 这 项 功能 ， 
因为 客户 不 可 能 为 了 仅仅 一 个 边界 安全 而 去 花 两 份 钱 。 那么 ,具备 对 入 侵 行为 智能 切断 的 
一 个 整合 型 .多 功能 的 防火 墙 ,将 是 市 场 的 需求 。 

6. 多 端口 并 适合 灵活 配置 

多 端口 的 防火 墙 能 为 用 户 提 供 更 好 的 安全 解决 方案 ,而 多 端口 .灵活 配置 的 防火 墙 ,也 
是 未 来 防火 墙 发 展 的 趋势 。 

随 着 网 络 处 理 器 和 ASIC 芯片 技术 的 不 断 革 新 ,高 性 能 、 多 端口 .高 粒度 控制 .减缓 病 毒 
和 垃圾 邮件 传播 速度 、 对 入 侵 行为 智能 切断 ,以 及 增强 抗 DoS 攻击 能 力 的 防火 墙 ,将 是 未 来 
防火 墙 发 展 的 趋势 。 
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2.5 防火 墙 固 有 的 安全 与 效率 的 矛盾 


防火 墙 作 为 一 种 提供 信息 安全 服务 、 实 现 网 络 和 信息 安全 的 基础 设施 ,作为 不 同 网 络 或 
网 络 安 全 域 之 间 信 息 的 出 入 口 ,根据 企业 的 安全 策略 控制 出 入 网 络 的 信息 流 。 再 加 上 防火 
墙 本 身 具有 和 较 强 的 抗 攻 击 能 力 , 能 有 效 地 监控 内 部 网 和 Internet 之 间 的 任何 活动 ,从 而 为 内 
部 网 络 的 安全 提供 了 有 力 的 安全 保证 。 

防火 墙 在 为 内 部 网 络 带 来 安全 的 同时 ,也 产生 了 一 定 的 反作用 一 一 降低 网 络 运行 效率 。 
在 传统 防火 墙 的 设计 中 , 包 过 滤 只 是 与 规则 表 进行 匹配 ,对 符合 规则 的 数据 包 进 行 处 理 ,不 
符合 规则 的 就 丢弃 。 由 于 是 基于 规则 的 检查 ,同属 于 同一 连接 的 不 同 包 毫 无 任何 联系 ,每 个 
包 都 要 依据 规则 顺序 过 滤 。 由 于 网 络 安全 涉及 领域 很 多 ,技术 复杂 ,安全 规则 往往 要 达到 数 
百 甚至 上 千 种 。 随 着 安全 规则 的 增加 ,很 多 防火 墙 产品 都 会 出 现 性 能 大 幅度 降低 、 网 络 资源 
衰竭 等 问题 ,从 而 造成 网 络 拥 塞 。 所 以 ,安全 与 效率 的 两 难 选择 成 为 传统 防火 墙 面临 的 最 大 
问题 。 此 外 ,在 这 种 设计 中 ,入 侵 者 可 能 会 采用 IP Spoofing 的 办 法 将 自己 的 非法 包 伪装 成 
属于 某 个 合法 的 连接 ,进而 侵入 用 户 的 内 部 网 络 系统 。 因 此 ,传统 的 包 过 滤 技 术 既 缺乏 效率 
又 容易 产生 安全 漏洞 。 

目前 ,具有 自主 核心 技术 的 防火 墙 新 品 已 产生 ,该 产品 就 利用 这 一 技术 ,将 属于 同一 连 
接 的 所 有 包 作 为 一 个 整体 的 数据 流 看 待 ,通过 规则 表 与 连接 状态 表 的 共同 配合 , 极 大 地 提高 
了 系统 的 传输 效率 和 安全 性 ,从 而 较 好 地 解决 了 防火 墙 固有 的 安全 与 效率 的 矛盾 问题 。 

与 传统 包 过 滤 的 无 连接 检测 技术 不 同 , 基 于 连接 状态 的 包 过 滤 在 进行 包 的 检查 时 ,不 仅 
将 其 看 成 是 独立 的 单元 ,同时 还 要 考虑 它 的 历史 关联 性 。 例 如 ,在 基于 TCP 的 连接 中 ,每 个 
包 在 传输 时 都 包括 IP 源 地 址 .目的 地 址 ,协议 的 源 接 口 和 目的 接口 等 信息 ,还 包括 对 在 允许 
的 时 间 间 隔 内 是 否 发 生 了 TCP 握手 消息 的 监视 信息 等 ,这 些 信息 与 每 个 数据 包 都 是 有 关联 
的 。 换 句 话 说 ,对 于 属于 同一 个 连接 的 数据 包 来 说 并 不 是 孤立 的 ,它们 存在 内 部 的 关联 信 
息 。 无 连接 的 包 过 滤 规 则 由 于 忽略 了 这 些 内 在 的 关联 信息 ,对 每 个 数据 包 都 进行 孤立 的 规 
则 检测 ,所 以 极 大 地 降低 了 传输 效率 。 

由 于 采用 了 基于 连接 的 包 过 滤 处 理 方法 ,该 防火 墙 在 进行 规则 检查 的 同时 ,可 以 将 包 的 
连接 状态 记录 下 来 ,该 连接 以 后 的 包 则 无 须 再 通过 规则 检查 ,而 只 需 通 过 状态 表 里 对 该 包 所 
属 的 连接 的 记录 来 检查 即 可 。 如 果 有 相应 的 状态 标识 , 则 说 明 该 包 属 于 已 经 建立 的 合法 连 
接 , 可 以 接受 。 检 查 通 过 后 该 连接 状态 的 记录 将 被 刷新 。 这 样 就 使 具有 相同 连接 状态 的 包 
避免 了 重复 检查 ,同时 由 于 规则 表 的 排序 是 固定 的 ,只 能 采用 线性 的 方法 进行 搜索 ,而 连接 
状态 表 内 的 记录 是 可 以 随意 排列 的 ,于 是 可 采用 诸如 二 又 树 或 Hash 等 算法 进行 快速 搜索 ， 
这 就 提高 了 系统 的 传输 效率 。 同 时 ,采用 实时 的 连接 状态 监控 技术 ,可 以 在 状态 表 中 通过 诸 
如 ACK( 应 答 响 应 ) .NO 等 连接 状态 因素 加 以 识别 ,阻止 该 包 通 过 ,增强 了 系统 的 安全 性 。 

另外 ,对 于 基于 UDP 的 应 用 来 说 ,由 于 该 协议 本 身 对 于 顺序 错误 或 丢失 的 包 并 不 做 纠 
缠 或 重 传 ,所 以 很 难 用 简单 的 包 过 滤 技 术 对 其 进行 处 理 。 防 火 墙 在 对 基于 UDP 的 连接 处 
理 时 ,会 为 UDP 建立 虚拟 连接 ,同样 能 够 对 连接 过 程 状态 进行 监控 ,通过 规则 与 连接 状态 
的 共同 配合 ,达到 包 过 滤 的 高 效 与 安全 。 
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小 结 


本 章 主要 讲述 了 防火 墙 的 原理 和 设置 ,了 解 防火 墙 在 拒绝 数据 包 的 时 候 还 做 了 哪些 工 
作 。 例 如 ,防火 墙 是 否 向 连接 发 起 系统 发 回 了 “主机 不 可 到 达 ” 的 ICMP 消息 ,或 者 防火 墙 是 
否 真 的 没有 再 做 其 他 事 , 这 些 问题 都 可 能 存在 安全 隐患 。 

高 性 能 防火 墙 是 未 来 发 展 的 趋势 ,突破 高 性 能 的 极限 就 是 对 防火 墙 硬件 结构 的 调整 。 
而 对 于 高 端 防火 墙 的 技术 实现 ,主要 分 为 三 种 方式 : 基于 通用 处 理 器 的 工控 机 架构 、 基 于 
NP 技术 .基于 ASIC 芯片 技术 。 

防火 墙 作 为 一 种 提供 信息 安全 服务 、 实 现 网 络 和 信息 安全 的 基础 设施 ,作为 不 同 网 络 或 
网 络 安全 域 之 间 信 息 的 出 入 口 ,根据 企业 的 安全 策略 控制 出 入 网 络 的 信息 流 。 再 加 上 防火 
墙 本 身 具 有 较 强 的 抗 攻击 能 力 , 能 有 效 地 监控 内 部 网 和 Internet 之 间 的 任何 活动 ,从 而 为 内 
部 网 络 的 安全 提供 了 有 力 的 保证 。 





第 3 


攻击 。 


Ee 


草 


操作 系统 自 带 防 火 墙 


六 配置 及 应 用 


3.1 Windows XP 操作 系统 自 带 防火 墙 


防火 墙 是 一 套 软件 或 硬件 ,可 协助 保护 计算 机 ,使 其 免 于 受到 黑客 和 许多 计算 机 病毒 的 


操作 系统 ,就 可 以 使 用 它 自 带 的 网 络 防 火 墙 。 


值得 注意 的 是 ,网 络 防 火 墙 是 利用 封锁 某 


因此 ,在 将 计算 机 连接 上 网 络 之 前 ,应 该 先 安装 防火 墙 。 如 果 使 用 的 是 Windows XP 


些 的 潜在 有 害 网 络 通信 的 方式 运作 ,所 以 ， 


它 也 会 封锁 一 些 有 用 的 网 络 通信 工作 。 例 如 ,网 络 共享 文件 ,打印 机 ,即时 通信 之 类 的 





应 用 程序 ,或 网 络 游戏 等 。 


雪人 生 。 
【实验 日 的 】 


通过 对 Windows XP 自 带 防火 墙 的 设置 ,掌握 防火 墙 


【实验 步骤 】 
(1) 右 击 桌面 上 的 “网 上 邻居 ”, 打 开 “ 网 络 连接 ”窗口 ,如 图 3-1 所 示 。 


(2) 右 击 “ 
人 3) 打开 
(4) 单 击 “ 


文件 @) 


Qa- 


编辑 EE) 


查看 WW) 收藏 W 工具) 
且 曼 辽 x#Hx [加 


高 级 ”帮助 00 


但 仍然 建议 使 用 防火 墙 ,因为 它 有 助 于 保护 计算 机 的 信息 


墙 的 功能 和 工作 原理 





国 创建 一 个 新 的 连接 
鱼油 ssh 公 


[ 辟 aa 防火 





本 地 连接 ”, 单 


G 





LAN 或 高 速 Internet 


本 地 连接 
| 已 连接 上 ， 有 防火 
Vihware Accelerat 


| 个 人 区 城 同 


| ge 


Be 网 结 连 接 | 


ets oth 设备 (|! 





3-1 “网 络 连 接 " 窗 口 


“属性 ”命令 ,打开 “本 地 连接 





高 级 ”选项 卡 ,如 图 3-3 所 示 。 
设置 ?按钮 ,打开 “Windows 防火 墙 ? 对 话 框 , 如 图 3-4 所 示 。 


属性 ”对 话 框 ,如 图 3-2 所 示 。 
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(5) 闫 


所 示 。 


十 本 地 连接 层 性 
二 [高 外 | 





连接 时 使 用 


十 本 地 连接 属性 


一 


常规 | 高 级 





Whare Accelerated MID PENet 1 
此 连接 使 用 下 列 项 目 2 


盛 Wicrosoft 前 的 区 件 和 林 印 机 共享 
电 9os 数据 包 计划 程序 
回 号 Internet 协议 (ICP/IP) 

















安装 中 节 载 QD 











属性 四 ) 
说 明 
区 许 您 的 计算 机 访问 上 ereseft 网 络 上 的 资源 。 





口 连接 后 在 通知 区 域 显 示 图 标 他 ) 
回 此 连接 被 限制 号 无 这 按时 通知 我 中) 











Winiows 防火 墙 


通过 限制 或 防止 从 Internet 访问 此 计 
算 机 来 保护 计算 机 和 网 络 














3-2 本 地 连接 属性 


三 Windows 防火 获 





例外 | 高 级 | 





图 3-3 “高 级 "选项 卡 





胸 osmmaapm 











不 允许 例外 @) 





口 关闭 (不 推荐 ) @) 


了 乞 由 防火 墙 的 其 地 信息 





各 网 0 有 户 过 Internet 或 网 络 访 问 您 的 计算 
所 有 外 部 尖 注 接 到 计算 机 ， 除 了 在 “例外 ”选项 卡 
4 : 


i 路 验 部 允 时 汪汪 器 


避免 使 用 此 设置 。 关闭 Windows 防火 墙 可 能 使 计算 机 更 容易 受 
有 墙 可 能 使 计算 机 











图 3-4 Windows 防火 墙 





【实验 结果 】 


启用 (推荐 )”, 然 后 单 击 “ 确 定 ” 按 钮 。 对 话 框 关 闭 后 ,防火 墙 即 


开启 ,如 图 3-5 


在 另外 一 台 计 算 机 上 ping 本 机 ,出 现 “Request time dout” 表 示 ping 不 通 本 机 .说 明 防 
火 墙 已 经 起 作用 了 ,如 图 3-6 所 示 。 


Fo 
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Co 









文件 中 编辑 于) 查看 收藏 和 工具 0) 高 级 加 帮助) EE 
OF- 访 | 且 控 文件 夫 


地 址 加 ) | 仿 网 结 连接 习 园 和 到 
加 “LA 或 高 速 Internet 





国 了 于 一 个 饭 的 连接 
设置 家 庭 或 小型 办 公 人 
2 水 


事业 h 网 络 连 接 
dd : 











了 BF 控制 面 权 
已 同上 邻居 ~ 





Vware Accelerated AND PCNet Adspter 


~ 5.2.3798] 
所 有 1985-2693 Microsoft Corp. 


C:\Docunents and Settings\Adninistrator>ping 192.168.1.3 
Pinging 192.168.1.3 with 32 bytes of data: 

out. 

out. 

out. 


Request tined out. 


Ping statisti For 192.168 -1 
Packet t = 4, Received = B。 Lost = 4 《1BBx lo 


C:\Docunents and Settings dninistrator’, 








图 3-6 测试 


防火 墙 可 能 会 干扰 某 些 网 络 作业 ,如 打印 共享 .网络 相关 程序 或 网 络 游 戏 等 。 对 于 计算 
机 安全 而 言 ,使 用 防火 墙 是 第 一 道 重要 的 防线 ,还 应 使 用 Windows Update 和 防毒 软件 来 协 
助 保护 计算 机 的 安全 


3.2 Windows 7 自 带 防火 墙 配置 


【实验 日 的 】 
通过 对 Windows 7 自 带 防火 墙 的 设置 ,掌握 防火 墙 的 功能 和 工作 原理 。 


第 3 章 操作 系统 自 带 防火 墙 配置 及 应 用 33 





【实验 步骤 】 
右 击 “ 网 络 ”, 选 择 “ 属 性 ”命令 ,打开 “网 络 和 共享 中 心 ” 窗 口 ,如 图 3-7 所 示 。 





Fe 区 
[Ed 





人 
设置 无 线 、 宽 带 、 斤 号 、 临 时 或 VPN 连接 ; 或 设置 路 由 器 或 访问 点 . 


等 过 ER 洛 
连接 到 或 重新 连接 到 无 线 、 有 线 、 拨 号 或 VPN 网 络 连接 . 





图 3-7 网 络 和 共享 中 心 


单 击 “"Windows 防火 墙 ", 打 开 “Windows 防火 墙 ”窗口 ,如 图 3-8 所 示 。 


DO" SH, wien Windom |) aan 














图 贸 志 所 2 工作 (局 风 铬 (0) 


图 @ dams 


公共 场所 ( 例 知 机场 或 其 啡 店 ) 中 的 网 络 




















图 3-8 Windows 7 防火 墙 
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单 击 “ 打 开 或 关闭 Windows 防火 墙 ", 进 入 “ 自 定义 设置 ”, 如 图 3-9 所 示 。 


自 定义 每 种 类 型 的 网 络 的 设置 








回 Windows 防火 雯 阳 止 新 程序 时 通知 我 
器 ”@ 关 Windows 防 炎 培 (F 推 二 








图 3-9 自 定义 设置 


选择 “公共 网 络 位 置 设置 "下 方 的 “启用 Windows 防火 墙 ”, 确 定 后 防火 墙 即 起 作用 了 ， 
如 图 3-10 所 示 。 


口 Windows 防火 培 阻止 新 程序 时 通知 我 
[<) 加 关闭 Windows 防火 壤 ( 不 推荐 ) 
公用 网 络 位 置 设置 
筷 图 启用 Windows 防火 培 
回 阻 止 所 有 传 和 连接 , 包括 位 于 允许 程序 列表 中 的 程序 
国 Windows 防火 培 阻止 新 程序 时 通知 我 
国 日 二 Windows WR 














图 3-10 启用 Windows 防火 墙 


【实验 结果 】 


在 另外 一 台 计 算 机 上 ping 本 机 ,出现 “Request time dout” 表 示 ping 不 通 本 机 :说明 防 
火 墙 已 经 起 作用 了 .如 图 3-11 所 示 。 





C:\Documents and Settings\hdninistratoryping 192.168.1.4 


Pinging 192.168.1.4 with 32 bytes of data: 


Request timed out. 
tined out- 
timed out. 
timed out. 


ics for 192.168.1.4: 
Sent = 4. Received = 9 05 


C:\Documents and Settings\Adninistrator>, 


图 3-11 测试 
3.3 Windows Server 2003 自 带 防火 墙 配 置 


3.3.1 防火 墙 的 开启 
【实验 日 的 】 
通过 对 Windows Server 2003 自 带 防 火 墙 的 设置 ,掌握 防火 墙 的 原理 
【实验 步骤 】 
(1) 右 击 “网 上 邻居 ”, 选 择 * 属 性 ”命令 .打开 “网络 连 接 ” 窗 口 , 如 图 3-12 所 示 
| 
文件 四 。 内 要 加 查看 中) 9 | | 
回扣 -六 | 万 者 已 交 天 | 区 址 又 区 | 听 - | 
地 址 qm) [已 局 呈 证 和 习 回 量 | 
LAN 或 高 速 Internet 





















局 用 
亡 Na 
向 导 


5 | 新 建 连接 向 导 
yy 
= 











[Intel GD) PRD/1000 WT Network Connection 4 











图 3-12 Windows Server 2003 自 带 防火 墙 
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(2) 右 击 “本 地 连接 ”, 单 击 “ 属 性 ”命令 ,打开 “本 地 连接 属性 ”对 话 框 ,如 图 3-13 所 示 。 


本 地 连接 尾 性 








图 3-13 本 地 连接 属性 


(3) 打开 “高 级 "选项 卡 ,如 图 3-14 所 示 。 
(4) 选中 “Internet 连接 防火 墙 ”, 确 定 后 防火 墙 即 起 作用 了 ,如 图 3-15 所 示 。 





图 3-14 “高 级 "选项 卡 图 3-15 Internet 连接 防火 墙 


【实验 结果 】 
在 另外 一 台 计 算 机 上 ping 本 机 .出现 “Request time dout” 表 示 ping 不 通 本 机 ,说 明 防 
火 墙 已 经 起 作用 了 。 如 图 3-16 所 示 。 





192 -168 .1-2 with 32 bytes of data: 


timed out- 
timed out. 
timed out. 
timed out. 





C:\Documents and Settings Adninistrator> 





图 3-16 实验 测试 
3.3.2 防火 墙 的 高 级 设置 
【实验 日 的 】 


通过 对 Windows Server 2003 防火 墙 的 高 级 设置 ,掌握 防火 墙 针 对 网 络 高 级 模块 的 相 
关 工 作 原 理 
【实验 步骤 】 








(1) 单 击 图 3-17 中 的 “设置 "按钮 ,可 进行 
(2) 选择 要 开通 的 服务 

















如 图 3-18 所 示 ,如果 本 机 要 开通 相应 的 服务 可 选中 该 服务 ,本 例 选中 了 “FTP 服务 器 ”， 
这 样 从 其 他 机 器 就 可 FTP 到 本 机 ,扫描 本 机 可 以 发 现 21 端口 是 开放 的 。 可 以 单 击 “ 添 加 ” 
按钮 增加 相应 的 服务 端口 
耻 苛 [~ 习 节 
常规 | 身份 了 证 高 级 | 服务 “| 安全 日 志 | io | 





Taternat 连接 防火 墙 一 ee 用 户 可 以 访问 的 运行 于 次 的 网 络 上 的 服 
服务 









| 时 来 | ernet 的 对 此 计算 1 
| RR 
了解 有 关 Intwraet 注 按 防 淡 培 的 洋 细 信息 。 


口 Internet 邮件 访问 协议 版 本 3 CMAF3) 
口 Internet 邮件 访问 协议 版 本 4 (CINAP4) 
口 Internet 邮件 服务 器 (WTP) 

口 Telnet 服务 器 

口 Web 服务 器 0mTP) 





务 器 HTTPS) 
本 3 (FOF3) 





秒 加 四 ) | 



































图 3-18 ”高 级 设置 中 的 服务 设置 
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(3) 设置 日 志 。 

如 图 3-19 所 示 , 选 择 要 记录 的 项 目 ,防火 墙 将 记录 相应 的 数据 ,日 志 默 认 在 c:\windows\ 
pfirewall. log, 用 记事 本 就 可 以 打开 查看 。 

(4) 设置 ICMP(Internet Control Message Protocol, Internet 控制 报 文 协 议 )。 

如 图 3-20 所 示 , 最 常用 的 ping 就 是 用 的 ICMP ,默认 设置 完 后 ping 不 通 本 机 就 是 因为 
屏 项 了 ICMP, 如 果 想 ping 通 本 机 只 需 将 “允许 传 入 响应 请 求 ”一 项 选中 即 可 。 





图 3-19 安全 日 志 图 3-20 ICMP 


第 4 音 ”管用 著名 防火 墙 


4.1 瑞星 个 人 防火 墙 


4.1.1 应 用 环境 及 语言 支持 

【实验 日 的 】 

在 瑞星 杀毒 软件 中 除了 杀毒 软件 外 ,还 有 瑞星 个 人 防火 墙 软件 。 瑞 星 个 人 防火 墙 为 计 
算 机 提供 全 面 的 保护 ,有 效 地 监控 任何 网 络 连接 。 通 过 过 滤 不 可 靠 的 服务 ,防火 墙 可 以 极 大 
地 提高 网 络 安全 ,同时 减 小 主机 被 攻击 的 风险 ,使 系统 具有 抵抗 外 来 非法 入 侵 的 能 力 , 防 止 
计算 机 和 数据 遭 到 破坏 。 

【实验 环境 】 


1. 软件 环境 

Windows 操作 系统 : WindowsXP 等 。 

2. 硬件 环境 

CPU: PIII 500 MHz 以 上 

内 存 : 64MB 以 上 

显卡 : 标准 VGA ,24 位 真 彩色 

其 他 : 光驱 .鼠标 

3. 语言 环境 

支持 简体 中 文 .繁体 中 文 .英语 和 日 语 4 种 语言 ,其 中 英语 可 以 在 所 有 语言 Windows 平 
涌 主 工作 
4.1.2 安装 瑞星 个 人 防火 墙 

【 实验 步骤 】 

(1) 启动 计算 机 并 进入 中 文 Windows(2000/XP/2003) 系 统 。 

(2) 有 以 下 两 种 启动 安装 程序 的 方式 。 

@ 从 光盘 安装 : 将 瑞星 杀毒 软件 光盘 放 入 光驱 ,系统 会 自动 显示 安装 界面 ,选择 “安装 
瑞星 个 人 防火 墙 ? 选 项 。 

@ 从 下 载 的 安装 包 安装 : 运行 Rfw. exe, 则 开始 运行 瑞星 安装 程序 。 

(3) 安装 程序 弹出 语言 选择 框 ,选择 需要 安装 的 语言 版 本 (如 图 4-1 所 示 ), 单 击 “ 确 定 ” 
按钮 进入 安装 程序 欢迎 界面 (如 图 4-2 所 示 ) 。 
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单 击 "取消 "退出 安装 程序 。 单 击 " 下 一 步 " 继 续 安装 程序 。 


图 4-1 语言 选择 图 4-2 欢迎 界面 


(4) 阅读 “最 终 用 户 许 可 协议 ”, 选 中 “我 接受 ” 单 选 按钮 , 单 击 “ 下 一 步 ”按钮 继续 安装 ; 
如 果 不 接受 协议 ,选中 “我 不 接受 " 单 选 按 钮 退出 安装 程序 (如 图 4-3 所 示 )。 

(5) 选择 安装 方式 ,默认 安装 可 以 安装 默认 的 目录 和 组 件 ,定制 安装 可 以 选择 组 件 并 将 
其 安装 在 合适 的 目录 下 。 

(6) 在 “安装 信息 ”窗口 中 (如 图 4-4 所 示 ) ,显示 了 安装 路 径 和 所 选 程序 组 件 等 信息 , 确 
认 后 单 击 “ 下 一 步 ” 按 钮 开始 复制 文件 ; 如 果 选 中 “安装 之 前 执行 内 存 病毒 扫描 ”" 复 选 框 ,在 
“瑞星 内 存 病毒 扫描 "窗口 中 程序 将 进行 系统 内 存 扫 描 。 根 据 当 前 系统 内 存 占 用 情况 ,此 过 
程 可 能 要 占用 3 一 5 分 钟 ; 如 果 需 要 跳 过 此 功能 ,请 单 击 “ 跳 过 ”按钮 继续 安装 (如 图 4-5 
所 示 )。 


ER 四 


Wnsarre. 如果 要 修 双 信息 ,请 单 击 "上 一 步 “。 单 击 " 下 一 步 "内 








当前 信息 : 
迄 生 目标 了 到 
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图 4-3 用 户 许 可 协议 图 4-4 安装 信息 
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(7) 安装 结束 ,提示 是 否 启动 瑞星 个 人 防火 墙 (如 图 4-6 所 示 )。 











结 更 四 
婉 星 个 人 防火 二 已 季 成 功 安装 到 绕 的 计算 机 中 
回 电动 瑞星 个 人 防火 声 
口 运行 注册 向 导 
sw CBJ 
图 4-5 扫描 内 存 4-6 完成 安装 


4.1.3 启动 瑞星 个 人 防火 墙 


启动 瑞星 个 人 防火 墙 软件 主 程序 有 以 下 两 种 方法 。 
(1) 选择 “开始 ”一 “所 有 程序 ”一 “瑞星 个 人 防火 墙 " 一 “瑞星 个 人 防火 墙 >( 如 图 4-7 
所 示 )。 





图 4-7 “开始 "菜单 启动 瑞星 个 人 防火 墙 
(2) 双击 桌面 上 的 “瑞星 个 人 防火 墙 ?快捷 图 标 , 即 可 启动 。 
4.1.4 界面 及 菜单 说 明 


瑞星 个 人 防火 墙 主 界面 包括 “操作 ”“ 设 置 " 和 “帮助 "等 选项 ,此 外 ,还 有 方便 快捷 的 操 
作 按 钮 (如 图 4-8 所 示 ) 。 

菜单 栏 : 用 于 进行 菜单 操作 的 窗口 ,包括 “操作 ”“ 设 置 " 和 “帮助 ”三 个 菜单 。 

设置 标签 :“ 工 作 状 态 ”、“ 系 统 状态 ”“ 启 动 选项 *” “密码 保护 “漏洞 扫描 ”“ 安 全 资 
讯 "。 通 过 单 击 标签 ,列表 将 显示 具体 的 设 定 记 录 或 程序 列表 。 

操作 按钮 :“ 停 止 保护 ”/* 启 动 保护 ”“ 断 开 网 络 ”/* 连 接 网 络 ”“ 智 能 升级 “查看 日 


下》 
坊 ”。 


工作 状态 : 在 此 状态 栏 中 显示 了 当前 防火 墙 的 状态 和 参数 。 
网 络 状态 显示 : 接收 ,发 送 数 据 的 具体 数值 。 

1.“ 操 作 ” 菜 单 

“操作 ”菜单 如 图 4-9 所 示 。 
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到 瑞星 个 人 防火 坪 












上 
不 博 刁 动 以 玉 ， 还 党 有 发 纳 对 藉 绊 的 下 击 。 





二 5 扫 作 暂时 没有 阳 序 六 阴 由 边 同属 
重担 订 ; 盖 卫 ， 汪 乙 乙 一 伏 帮 一 乙 少 


























图 4-8 瑞星 个 人 防火 墙 主 界面 图 4-9 “操作 ”菜单 


(1)“ 停 止 保护 ”: 停止 防火 墙 的 保护 功能 ,执行 此 功能 后 ,计算 机 将 不 再 受 瑞星 防火 墙 
的 保护 。 功 能 同 主 界面 的 “停止 保护 ”按钮 相同 。 防 火 墙 已 处 于 停止 保护 状态 时 ,此 项 将 变 
为 “启用 保护 ”选择 该 选项 将 重新 启用 防火 墙 的 保护 功能 。 

(2)“ 断 开 网 络 ”: 将 计算 机 完全 与 网 络 断 开 , 就 如 同 拔 掉 网 线 或 是 关 掉 网 卡 功能 一 样 。 
其 他 人 都 不 能 访问 计算 机 ,但 是 也 不 能 再 访问 网 络 。 

(3)“ 切 换 工作 模式 ”: 有 三 种 工作 模式 : 交易 模式 、 静 默 模式 和 常规 模式 。 不 同 的 工作 
模式 用 来 确定 访问 规则 中 没有 规定 动作 的 程序 在 访问 网 络 时 如 何 处 理 , 可 在 设置 中 详细 设 
定 每 种 模式 的 规则 。 

三 种 模式 的 默认 访问 规则 如 下 。 

@ 交易 模式 : 访问 规则 中 没有 时 ,默认 禁止 访问 网 络 。 

@ 静默 模式 : 访问 规则 中 没有 时 ,默认 禁止 访问 网 络 ,不 做 任何 提示 。 

@ 常规 模式 : 访问 规则 中 没有 时 ,默认 询问 用 户 。 

也 可 以 在 防火 墙 托 盘 图 标的 右键 菜单 中 切换 工作 模式 。 

(4)“ 显 示 日 志 ”: 启动 日 志 显 示 程 序 ,功能 与 主 界面 的 “显示 日 志 ” 按 钮 相同 。 

(5)“ 扫 描 木马 病毒 ”: 启动 扫描 木马 程序 。 启 动 后 将 会 出 现 正在 扫描 木马 病毒 的 显示 
窗口 ,扫描 后 会 出 现 扫描 结果 的 气泡 提示 。 

(6)“ 智 能 升级 ”: 启动 智能 升级 程序 对 防火 墙 进行 升级 更 新 ,功能 与 主 界面 中 的 “智能 
升级 ”按钮 相同 。 区 二 

(7)“ 退 出 ”: 退出 防火 墙 配置 程序 ,注意 此 处 只 是 退 
出 配置 界面 ,并 不 关闭 防火 墙 的 保护 功能 。 

2.“ 设 置 莱 单 

“设置 "菜单 如 图 4-10 所 示 。 

(1)“ 详 细 设 置 ": 打开 防火 墙 的 详细 设置 界面 ,可 以 
根据 自身 需要 对 各 个 项 目 进行 详细 设置 。 图 4-10 “设置 "菜单 
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(2)“ 密 码 保护 ”: 扫描 个 人 防火 墙 中 可 识别 的 网 络 游戏 ,车 已 安装 将 自动 添加 到 密码 
保护 规则 中 。 

(3) “设置 网 络 ”: 设置 智能 升级 的 网 络 连接 信息 。 

(4)“ 设 置 用 户 ID”: 设置 智能 升级 的 用 户 ID 信息 。 


4.1.5 操作 与 使 用 


1. 安全 级 别 设置 
打开 防火 墙 主 程序 , 拖 动 主 界面 右 下 角 的 安全 级 别 滑 块 到 对 应 位 置 (如 图 4-11 所 示 )。 
关于 安全 级 别 的 定义 及 规则 如 下 。 
(1) 普通 : 系统 在 信任 的 网 络 中 ,除非 规则 禁止 的 ， 
否则 全 部 放 过 。 图 4-11 安全 级 别 
(2) 中 级 : 系统 在 局 域 网 中 ,默认 允许 共享 ,但 是 禁 
止 一 些 较 危 险 的 端口 。 
(3) 高 级 : 系统 直接 连接 Internet, 除 非 规则 放行 ,否则 全 部 拦截 。 
2. 普通 设置 
打开 防火 墙 主 程序 ,选择 “设置 ”一 "详细 设置 ?打开 对 话 框 ( 如 图 4-12 所 示 ) 。 
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回 启用 责 音 报 区 后 拓 起 甬 知 
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局 保 模式 : 未 演 录 模式 : 
议定 模式 : 竟 冉 模式 
交易 模式 : 








图 4-12 详细 设置 

1) 规则 顺序 

可 选择 访问 规则 优先 或 卫 规则 优先 。 当 访问 规则 和 卫 规则 有 冲突 的 时 候 , 防 火 墙 将 
依照 此 规则 顺序 执行 。 例 如 ,应 用 规则 规定 IE 程序 可 以 访问 网 络 ,IP 规则 规定 不 允许 访问 
瑞星 网 站 ,如 果 选择 应 用 规则 优先 , 则 可 以 访问 瑞星 网 站 ; 如 果 选 择 IP 规则 优先 ,由 于 人 P 
规则 不 允许 访问 瑞星 网 站 ,即使 应 用 规则 允许 IE 访问 网 络 , 也 无 法 访问 瑞星 网 站 。 

2) 日 志 记 录 种 类 

指定 哪些 类 型 的 事件 记录 在 日 志 中 ,分 别 为 “清除 木马 病毒 *、“ 系 统 动作 ”“ 修 改 配 置 ”、 
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“禁止 应 用 ”“ 修 订 规则 ”, 复 选 框 中 打 勾 表示 选中 。 单 击 " 更 多 设置 "按钮 可 进入 日 志 详 细 选 
项 的 设置 。 
(1) 日 志文 件 大 小 : 设 定 日 志文 件 大 小 ,默认 为 5MB。 
(2) 每 页 显示 记录 : 设 定 查看 日 志 时 每 页 显示 记录 数量 ,默认 为 500。 
(3) 日 志文 件 满 后 自动 备份 : 默认 选中 。 
(4) 备份 文件 总 大 小 : 设 定 备份 文件 的 总 大 小 ,默认 为 100MB。 
(5) 备份 文件 路 径 : 备份 文件 存放 的 位 置 . 单 击 “ 浏 览 ” 按 钮 可 进行 修改 。 
3) 不 在 访问 规则 中 的 程序 访问 网 络 的 默认 动作 
“不 在 访问 规则 中 的 程序 访问 网 络 的 默认 动作 ”选项 区 域 中 有 以 下 三 种 默认 动作 。 
(1) 自动 拒绝 : 不 提示 用 户 , 自 动 拒绝 应 用 程序 对 网 络 的 访问 请 求 。 
(2) 自动 放行 : 不 提示 用 户 ,自动 放行 应 用 程序 对 网 络 的 访问 请 求 。 
(3) 询问 用 户 : 提示 用 户 , 由 用 户 选 择 是 否 允 许 放行 。 
6 种 模式 ,防火 墙根 据 不 同 模式 .不 同 计算 机 状态 执行 不 同 规则 。 
(1) 屏保 模式 : 在 屏保 模式 下 对 于 应 用 程序 网 络 访问 请 求 的 策略 ,默认 是 自动 拒绝 。 
(2) 锁定 模式 : 在 屏幕 锁定 状态 下 对 于 应 用 程序 网 络 访问 请 求 的 策略 ,默认 是 自动 拒绝 。 
(3) 密码 保护 模式 : 在 进入 密码 保护 指定 的 程序 之 后 对 于 应 用 程序 网 络 访问 请 求 的 策 
略 , 默 认 是 自动 拒绝 。 
(4) 交易 模式 : 在 交易 模式 下 对 于 应 用 程序 网 络 访问 请 求 的 策略 ,默认 是 自动 拒绝 。 
(5) 未 登录 模式 : 在 未 登录 模式 下 对 于 应 用 程序 网 络 访问 请 求 的 策略 ,默认 是 放行 。 
(6) 静默 模式 , 不 与 用 户 交互 的 模式 。 在 静默 模式 下 对 于 应 用 程序 网 络 访问 请 求 的 策 
略 ,默认 是 自动 拒绝 。 
6 种 模式 中 屏保 模式 .未 登录 模式 、 锁 定 模式 和 游戏 模式 可 根据 计算 机 状态 自动 切换 ， 
其 他 几 种 模式 为 手工 切换 。 
3. 规则 设置 
用 于 配置 防火 墙 的 过 滤 规 则 ,包括 以 下 几 个 方面 。 
(1) 黑 名 单 : 在 黑 名 单 中 的 计算 机 禁止 与 本 机 通信 。 
(2) 白 名 单 : 在 白 名 单 中 的 计算 机 对 本 地 具有 完全 的 访问 权限 。 
(3) 端口 开关 : 允许 或 禁止 端口 中 的 通信 ,可 简单 开关 本 机 与 远程 的 端口 。 
(4) 可 信和 区 : 通过 可 信 区 的 设置 ,可 以 把 局 域 网 和 互联 网 区 分 对 待 。 
(5) IP 规则 : 在 IP 层 过 滤 的 规则 。 
加 (6) 访问 规则 : 本 机 中 访问 网 络 的 程序 的 过 滤 


RE a 











多 个 请 口 以 身 文 逗号 分 隔 ， 加 : 2,4-8,10 1) 端口 开关 
Fn tr 可 以 允许 或 禁止 端口 中 的 通信 ,可 简单 开关 本 
: @ 关 LE 0 机 与 远程 的 端口 。 列 表 中 显示 当前 端口 规则 中 每 
一 项 的 端口 .动作 .协议 .计算 机 。 对 应 的 复 选 框 被 
|) 一 ze | 选中 的 项 表示 生效 (如 图 4-13 所 示 )。 





(1) 增加 规则 : 单 击 “ 增 加 规则 ”按钮 或 在 右键 


图 413 增加 规则 
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快捷 菜单 中 选择 “增加 规则 ”命令 ,将 弹出 “增加 端口 开关 ”对 话 框 。 

(2) 编辑 规则 : 选中 待 修改 的 规则 ,规则 加 亮 显 示 , 在 右键 快捷 菜单 中 选择 “编辑 规则 ” 
命令 ,打开 “编辑 端口 开关 ”对 话 框 。 修 改 对 应 项 目 , 单 击 “ 确 定 ” 按 钮 完成 修改 ,或 单 击 “ 取 
消 " 按 钮 放弃 此 次 修改 。 

(3) 删除 规则 : 选中 待 删除 的 规则 ,规则 加 亮 显 示 , 单 击 * 删 除 规则 ”按钮 或 在 右键 快捷 
菜单 中 选择 “删除 规则 ”命令 。 

2) 协议 设置 

(1) 协议 类 型 : 协议 分 为 ALL、TCP、UDP、TCP/UDP、ICMP、IGMP、ESP、AH.、\GRE、 
RDP、SKIP 共 11 种 。 选 择 不 同 的 协议 类 型 会 影响 其 他 的 选项 。 

(2) 端口 : 分 别 设置 对 方 端口 与 本 地 端口 ,可 设置 “任意 端口 "“ 指 定 端口 "“ 端 口 范 
围 "“ 端 口 列表 ”。 

(3) ICMP 类 型 : 仅 当 协议 类 型 为 ICMP 时 可 见 。 

@ 指定 类 型 : 指定 一 种 单一 的 过 滤 类 型 。 

@ 类 型 组 合 : 指定 多 种 类 型 进行 组 合 ,并 控制 方向 。 单 击 “ 编 辑 类 型 "按钮 进入 详细 设 
和 置 界面 ,选中 要 控制 的 类 型 ,选中 “匹配 接收 “匹配 发 送 " 复 选 框 , 单 击 “ 应 用 ”按钮 后 生效 
(如 图 4-14 所 示 )。 

@ 任意 类 型 : 设 定 对 所 有 ICMP 类 型 生效 。 

(4) 内 容 特 征 : 选中 “指定 内 容 特 征 " 复 选 框 , 单 击 “ 编 辑 ” 按 钮 ,将 打开 “编辑 内 容 特征 ” 
对 话 框 。 

输入 特征 偏 移 量 , 在 “特征 内 容 " 文 本 框 中 按 Insert 键 ,每 按 一 次 插入 一 个 字 节 。 

特征 串 最 长 支持 27 个 字 节 , “特征 内 容 " 文 本 框 中 左 侧 显 示 的 是 十 六 进 制 数 , 右 侧 是 
ASCII 码 ( 如 图 4-15 所 示 )。 


















































区 主 的 ICMP 类 型 本 加 显 应 答 : 
回 晶 应 符 无 
目的 不 可 达 : 无 
广阔 口 关 闭 : 无 | 口 下 忆 接 收 
下 定向 : 无 
回 显 请 求 : 按 履 
路 由 通知 : 无 ”| 口 匹配 发 送 
路 由 请 求 : 无 
超时 无 
时 间 束 应 等 : 无 再 下 内 写 : po0o 74 65 73 74 test 
Ee: 半 | Caag 
掩 码 清 求 : = | 
挤 码 应 答 : 无 a 回 
Pr bi 
4-14 ICMP 类 型 4-15 编辑 内 容 特征 


单 击 “确定 ”按钮 退出 时 将 根据 输入 的 特征 串 自 动 计算 特征 长 度 。 
(5) TCP 标志 
仅 当 协议 类 型 为 TCP 或 TCP/VUDP 时 可 见 。 
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选中 “指定 TCP 标志 ” 复 选 框 , 单 击 “ 编 辑 ” 按 钮 ,将 打开 “选择 允许 的 TCP 标记 ”对 话 
框 。 将 需要 设 为 允许 的 项 选中 , 单 击 “ 确 定 ”按钮 生效 。 

TCP 标志 有 以 下 几 个 。 

@ URG: 紧急 数据 包 有 效 。 用 来 处 理 避 免 TCP 数据 流 中 断 。 

Q@ ACK: 确认 序号 有 效 。 提 示 远 端 系统 已 经 成 功 接收 所 有 数据 。 

@ PSH: 尽快 交 应 用 层 。 表 示 请 示 的 数据 段 在 接收 方 得 到 后 就 可 直接 送 到 应 用 程序 ， 
而 不 必 等 到 缓冲 区 满 时 才 传 送 。 

@ RST: 重建 连接 。 用 于 复位 因 某 种 原因 引起 出 现 的 错误 连接 ,也 用 来 拒绝 非法 数据 
和 请 求 。 

@ SYN: 同步 发 起 连接 。 仅 在 建立 TCP 连接 时 有 效 , 它 提示 TCP 连接 的 服务 端 检查 
序列 编号 。 

@ FIN: 完成 发 送 任务 。 带 有 该 标志 位 的 数据 包 用 来 结束 一 个 TCP 会 话 , 但 对 应 端口 
还 处 于 开放 状态 ,准备 接收 后 续 数 据 。 

4. 访问 规则 

设置 本 机 中 访问 网 络 的 程序 的 过 滤 规 则 。 

1) 增加 规则 

(1) 单 击 “ 增 加 规则 ”按钮 或 在 右键 快捷 菜单 中 选择 “增加 规则 ”命令 ,打开 “添加 访问 规 
则 向 导 ” 对 话 框 (如 图 4-16 所 示 )。 


编 如 访问 规则 

















全称 : [了 末 史 了 
FavCopy Application 
We 
TAFE 二 
3: 18.0.0. 10 
| 瑞星 软件 
:mm 加 Xi: [sa 国 
口 启用 防 算 改 保护 





[= +" Js ees Maew Now 





4-16 添加 访问 规则 向 导 


(2) 单 击 “浏览 ?按钮 定位 应 用 程序 ,对 话 框 中 自动 显示 名 称 、 公 司 ,版 本 信息 。 

(3) 选择 所 属 类 别 .常规 模式 下 访问 规则 ,是否 允许 发 送 邮件 。 

(4) 选择 是 否 启用 防 算 改 保护 ,选中 “启用 防 自 改 保护 ” 复 选 框 表示 在 应 用 程序 访问 网 
络 时 防火 墙 将 检查 其 是 否 已 被 修改 过 。 

(5) 单 击 “下 一 步 ” 按 钮 或 选择 左 侧 的 “高 级 ”选项 ,进入 高 级 设置 对 话 框 ,设置 在 各 种 模 
式 下 此 应 用 程序 访问 网 络 的 规则 (如 图 4-17 所 示 )。 

(6) 设置 其 是 否 允 许 对 外 提供 服务 。 单 击 “完成 ”按钮 保存 并 退出 。 
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4-17 高 级 设置 界面 


2) 编辑 规则 

(1) 选中 待 修改 的 规则 ,规则 加 亮 显 示 , 单 击 “ 编 辑 规则 ”按钮 或 在 右键 快捷 菜单 中 选择 
“编辑 规则 ”命令 ,打开 “编辑 访问 规则 ”对 话 框 。 

(2) 修改 对 应 项 目 , 基 本 内 容 与 “增加 规则 ”相同 。 单 击 * 完 成 ”按钮 确认 修改 ,或 单 击 
“退出 ”按钮 放弃 此 次 修改 。 

3) 删除 规则 

(1) 选中 待 删除 的 规则 ,规则 加 亮 显 示 , 单 击 “ 删 除 规则 ”按钮 或 在 右键 快捷 菜单 中 选择 
“删除 规则 ”。 

(2) 确认 删除 。 

4) 导入 规则 

(1) 单 击 “ 导 入 规则 ”按钮 ,在 弹出 的 文件 选择 对 话 框 中 选中 规则 文件 ( x . fwr) ,再 单 击 
“打开 ”按钮 。 

(2) 如 果 列 表 中 已 有 规则 ,导入 会 询问 是 否 删 除 现 有 规则 ,可 以 单 击 " 是 ”“ 否 "或 “ 取 
消 ” 按 钮 。 

5) 导出 规则 

(1) 单 击 “ 导 出 规则 ”按钮 ,在 弹出 的 保存 对 话 框 中 填写 文件 名 ,再 单 击 “ 保 存 ” 按 钮 。 

(2) 如 果 选 择 的 文件 已 存在 .导出 时 会 询问 是 否 覆盖 。 

5. ICMP 类 型 


本 选项 只 适用 于 ICMP(Internet Control Message Protocol, Internet 控制 报 文 协议 )， 
仅 供 高 级 用 户 使 用 。 在 规则 设置 界面 中 ,选择 “协议 ”为 ICMP, 再 单 击 "ICMP 类 型 "标签 ， 
打开 “ICMP 类 型 "选项 卡 。 

ICMP 类 型 有 以 下 15 种 可 供 选择 。 

echo reply 


destination unreachable 
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source quench 
redirect 

echo request 

router advertisement 
router solicitation 
time — to— live exceeded 
IP header bad 
timestamp request 
timestamp reply 
information request 
information reply 
address mask request 


address mask reply 


(1) 单一 类 型 : 只 选 一 种 ICMP 类 型 。 


(2) 类 型 列表 : 可 选 多 种 ICMP 类 型 ,用 户 可 添加 或 删除 ICMP 类 型 。 


(3) 任何 类 型 : 包括 所 有 列 出 的 所 有 类 型 。 


4.2 天 网 防火 墙 的 使 用 


【软件 介绍 】 


“天 网 防火 墙 ” 是 我 国 首 个 达到 国际 一 流水 平 . 首 批 获得 国家 信息 安全 认证 中 心 、 国 家 公 
安 部 、 国 家 安全 部 认证 的 软 硬 件 一 体 化 网 络 安全 产品 ,性 能 指标 及 技术 指标 达到 世界 同类 产 
品 先进 水 平 。“ 天 网 防火 墙 ” 在 多 项 网 络 安 全 关键 技术 上 取得 重大 突破 ,特别 是 DoS 防御 


功能 。 


天 网 防火 墙 个 人 版 是 以 一 个 可 执行 文件 方式 提供 的 ,下 载 之 后 直接 执行 便 可 以 开始 安 
装 了 。 安 装 完毕 之 后 ,天 网 防火 墙 会 自动 将 其 自身 加 入 “启动 ”中 ,以 后 每 次 启动 Windows， 


它 都 会 自动 启动 。 
【实验 日 的 】 
掌握 天 网 防火 墙 的 安装 和 使 用 。 
【 实验 步骤 】 
1. 安装 


(1) 安装 天 网 防火 墙 ,在 安装 过 程 中 会 有 一 个 选项 是 “开机 的 时 候 自 动 启动 防火 墙 “( 必 


须 选 中 该 复 选 框 ) ,完成 后 不 要 重启 (图 4-18, 图 4-19)。 


(2) 破解 防火 墙 (只 用 于 教学 实验 环节 .不 得 用 于 商业 行为 ) .依次 运行 CRACK 文件 夹 





里 面 的 EXE 文件 ,路 径 是 天 网 防火 墙 的 安装 路 径 , 默 认 路 径 是 C:\Program Files\SkyNet\ 
FireWall, 如 果 安 装 时 修改 了 安装 路 径 , 请 选择 修改 后 的 安装 路 径 ,破解 完成 后 ,必须 重启 


(图 4-20, 图 4-21) 。 





局 域 网 信息 设置 
你 在 扫 最 人 守 届 基 几 由 全 用 你 的 机 


人 


rr 请 跳 过 此 步 。 


用 人 
me i 








屎 我 的 电脑 在 局 城 网 中 使 用 


我 在 局 城 网 中 的 地 址 是 ， [759715 四 故国 














图 4-18 设置 向 导 
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一 > 丰 解 信息 <=- 
天 网 2.73 0126 正 式 版 
三 解 . 免 注 册 
By 天 山 童 老 [D.45] 

wn nn 





Wn 
我 的 文档 
可 


我 的 电脑 


图 4-20 破解 
2. 界面 


天 网 防火 墙 的 界面 简洁 ,由 6 个 选择 页 组 成 ,选择 不 同 的 选择 页 便 会 有 不 同 的 








图 4-19 安装 提示 





选择 。 这 6 个 选择 页 分 别 是 普 
这 项 功能 有 Bug 所 以 在 这 个 版 本 中 被 屏 项 了 ,如 果 下 载 的 是 以 前 的 版 本 , 昼 


4 内 容 可 供 








普通 设置 .高 级 设置 .安全 记录 、 检 测 、. 关 于 、 请 注册 。 








由 于 检测 








,那么 也 建议 不 要 


使 用 ,否则 在 系统 漏洞 修补 后 可 能 会 造成 系统 使 用 不 正常 。 除 了 这 6 个 选择 页 之 外 ,天 网 防 
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一 > 破解 信息 <=- 
天 网 2.73 0128 正 式 版 
破解. 升 似 
By 天 山 童 老 [D.45] 
发 布 日 期 - 2005.01 .39 


Sr 可 下 辣 臣 5 


类 型 ; 应 用 程序 
大 小 ; 128 KB 





文件 各 0 PFWLiveUpdate. exe 3 
袜 伯 [rivewenars Ex _ 取 | 





图 4-21 升级 


火 墙 还 提供 了 “ 停 ” 这 个 快捷 按钮 ,供用 户 快速 断 开 网 络 。 不 过 需要 说 明 的 是 : 这 里 所 说 的 
断 开 网 络 并 不 是 Internet 中 的 断 开 连 接 ,也 就 是 切断 计算 机 和 ISP( 互 联网 服务 提供 商 ) 的 
联系 ,而 是 不 允许 任何 外 界 的 数据 流 进 入 本 机 ,也 不 允许 本 机 向 外 界 发 送 数据 流 。 不 要 认为 
单 击 “ 停 ”按钮 之 后 便 已 经 断 开 了 与 ISP 的 连接 。 

重启 后 ,打开 天 网 防火 墙 ,安全 级 别 选 择 “ 扩 ”, 一 定 不 要 选择 “在 线 升级 "(图 4-22， 
图 4-23)。 


安全 阁 别 ; 扩展 


天 同 为 用 户 制定 了 一 系列 专门 针对 木马 和 
介 谋 程序 的 扩展 规则 ,可 以 防止 森马 和 间 谋 程 
序 打开 TCP 或 UP 端口 篇 听 革 至 开放 未 许可 的 服 

们 梅 密切 跟踪 最 新 的 安全 动态 ， 保 持 高 
周旋 人 为 售 提 


单 击 扩 "以 确定 使 用 该 安全 级 别 。 


前 规则 库 发 布 于 ; 2005-03-07 
这: 





图 422 界面 图 4-23 界面 说 明 


按 如 图 4-24 和 图 4-25 所 示 进 行 设置 ,将 “在 线 升级 设置 "设置 为 永久 不 提示 ,以 防 升级 
后 不 能 使 用 。 
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基本 设置 | 在线 升级 设置 | Ca) 基本 设置 在 线 升级 设置 | 
以 
「 局 三 规则 设 定 
: [本 | a 
C 有 新 的 升级 包 就 提示 
厂 允许 所 有 的 应 用 程序 访问 网 络 , 并 在 灿 则 中 记录 这 些 程序 
人 在 设 定 的 时 间 段 内 不 提示 
[局 城 网 地 址 设 定 
局 域 由 地 址 [7532 155 二 BD 到 了 
其 他 设置 一 
口 报警 声音 
记 自动 保存 日 志 
图 4-24 选中 “开机 后 自动 启动 防火 墙 " 复 选 框 图 4-25 ”在线 升级 设置 
3. 设置 


天 网 防火 墙 提供 了 普通 设置 和 高 级 设置 两 种 。 前 者 主要 是 提供 给 普通 用 户 使 用 的 ,而 
后 者 则 是 提供 给 对 于 网 络 安全 有 着 相当 了 解 的 高 级 用 户 。 究 竞选 择 哪 一 种 就 取决 于 对 自己 
的 定位 。 对 于 两 种 设置 都 会 有 比较 详细 的 介绍 ,无 论 是 哪 一 种 设置 ,天 网 防火 墙 都 提供 局 域 
网 安全 设置 和 互联 网 安全 设置 两 种 。 下 面 的 介绍 以 互联 网 安全 设置 为 准 。 

4. 普通 设置 

在 普通 设置 中 ,天 网 防火 墙 提 供 了 极 高 .高 .中 、 低 、 自 定义 5 档 选项 。“ 极 高 "选项 的 含 
义 就 等 同 于 前 文 讲 到 的 “ 停 ” 按 钮 ,这 个 用 处 不 大 ,与 其 禁止 数据 流 的 出 入 还 不 如 直接 切断 与 
ISP 的 连接 ,毕竟 这 不 是 独 享 专线 的 符号 。 在 “高 ”这 个 选项 的 时 候 , 天 网 防火 墙 关闭 了 所 有 
端口 的 服务 ,别人 无 法 通过 端口 的 漏洞 来 人 侵 计 算 机 ,而 且 就 算是 机 器 中 有 特洛伊 木马 的 客 
户 端 程序 ,也 不 会 受到 入侵 者 的 控制 。 可 以 用 浏览 器 访问 WWW ,但 无 法 使 用 QQ 等 软件 。 
如 果 需 要 使 用 QQ 类 服务 ,或 者 安装 有 FTP Server.HTTP Server 的 话 ,那么 请 不 要 选择 此 
选项 。 在 选中 这 个 选项 的 时 候 , 天 网 防火 墙 关 闭 了 所 有 TCP 端口 服务 ,但 UDP 端口 服务 还 
开放 着 ,别人 无 法 通过 端口 的 漏洞 来 人 侵 计算 机 “中 ”这 个 选项 阻挡 了 几乎 所 有 的 蓝屏 攻 
击 和 信息 泄漏 问题 而 且 不 会 影响 普通 网 络 软件 的 使 用 ,这 个 是 推荐 的 选项 。 在 “ 低 ” 这 个 选 
项 的 时 候 , 天 网 防火 墙 阻挡 了 某 些 常 用 的 蓝屏 攻击 和 信息 汇 漏 问题 ,但 不 能 够 阻挡 特洛伊 木 
马 软 件 , 不 推荐 使 用 。 如 果 高 级 用 户 , 需 要 自 定义 配置 ,那么 请 设置 为 * 自 定义 ”选项 ,并 进入 
高 级 设置 。 

5. 高 级 设置 

在 高 级 设置 中 ,天 网 防火 墙 提供 了 “与 网 络 连接 ”ICMP IGMP、“TCP 监听 ”“UDP 监 
听 ”NETBIOS 共 6 个 具体 选项 。 考 虑 到 后 5 项 涉及 较 复 杂 的 网 络 知识 ,所 以 在 这 里 做 一 
个 简要 的 介绍 。 
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1) ICMP 

关闭 ICMP 时 无 法 进行 ping 的 操作 , 即 别 人 无 法 用 ping 的 方法 来 确定 本 台 计 算 机 的 
存在 。 当 有 ICMP 数据 流 进入 机 器 时 ,除了 正常 情况 外 一 般 是 有 人 利用 专门 软件 进攻 计算 
机 ,这 是 一 种 在 Internet 上 比较 常见 的 攻击 方式 ,主要 分 为 Flood 攻击 和 Nuke 攻击 两 类 。 
ICMP Flood 攻击 通过 产生 大 量 的 ICMP 数据 流 以 消耗 计算 机 的 CPU 资源 和 网 络 的 有 效 带 
宽 , 使 得 计算 机 服务 不 能 正常 处 理 数据 ,进行 正常 运作 ; ICMP Nuke 攻击 通过 Windows 的 
内 部 安全 漏洞 ,使 得 连接 到 互联 网 的 计算 机 在 遭受 攻击 的 时 候 出 现 系 统 骨 溃 的 情况 ,不 能 再 
正常 运作 。 也 就 是 常 说 的 蓝屏 炸弹 。 该 协议 对 于 普通 用 户 来 说 ,很 少 使 用 到 ,建议 关 掉 此 
功能 。 

2) IGMP 

IGMP 是 和 ICMP 差不多 的 协议 ,除了 可 以 利用 它 来 发 送 蓝屏 炸弹 外 ,还 会 被 后 门 软件 
利用 。 当 有 IGMP 数据 流 进 入 计算 机 时 ,有 可 能 是 DDoS 的 宿主 向 计算 机 发 送 IGMP 控制 
的 信息 ,如果 计算 机 上 有 DDoS 的 Slave 软件 ,这 个 软件 在 接收 到 这 个 信息 后 将 会 对 指定 的 
网 站 发 动 攻击 ,这 个 时 候 这 台 计 算 机 就 成 了 黑客 的 帮凶。 

3) TCP 监听 

关闭 时 ,计算 机 上 所 有 的 TCP 端口 服务 功能 都 将 失效 。 这 是 一 种 对 付 特洛伊 木马 客户 
端 程序 的 有 效 方 法 ,因为 这 些 程序 也 是 一 种 服务 程序 ,由 于 关闭 了 TCP 端口 的 服务 功能 ,外 
部 几乎 不 可 能 与 这 些 程序 进行 通信 。 而 且 , 对 于 普通 用 户 来 说 ,在 互联 网 上 只 是 用 于 
WWW 浏览 ,关闭 此 功能 不 会 影响 用 户 的 操作 。 但 要 注意 ,如 果 计 算 机 要 执行 一 些 服务 程 
序 , 如 FTP Server, HTTP Server 时 ,一 定 要 使 该 功能 正常 ,而 且 , 如 果 用 QQ 来 接收 文件 ， 
也 一 定 要 使 该 功能 正常 ,否则 将 无 法 收 到 别人 的 QQ 信息 。 另 外 ,关闭 了 此 功能 后 ,也 可 以 
防止 大 部 分 的 端口 扫描 。 

4) UDP 监听 

失效 时 ,计算 机 上 所 有 的 UDP 服务 功能 都 将 失效 。 通 过 UDP 方式 来 进行 蓝屏 攻击 比 
较 少 见 , 但 有 可 能 会 被 用 来 进行 激活 特洛伊 木马 的 客户 端 程序 。 需 要 注意 的 是 ,如 果 使 用 了 
QQ ,就 不 可 以 关闭 此 功能 。 

5) NETBIOS 

有 人 在 尝试 使 用 微软 网 络 共享 服务 端口 (139 端口 ) 连 接 到 计算 机 ,如 果 没 有 做 好 安全 
措施 ,可 能 是 在 用 户 不 知道 和 并 没有 允许 的 情况 下 .计算 机 里 的 私人 文件 就 会 在 网 络 上 被 任 
何人 在 任何 地 方 进行 打开 、 修 改 或 删除 等 操作 。 将 NETBIOS 设置 为 失效 时 ,机 器 上 所 有 共 
享 服务 功能 都 将 关闭 ,别人 在 资源 管理 器 中 将 看 不 到 共享 资源 。 注 意 : 如 果 在 失效 前 ,别人 
已 经 打开 了 计算 机 的 资源 ,那么 他 仍然 可 以 访问 那些 资源 ,直到 他 断 开 了 这 次 连接 。 建 议 在 
局 域 网 中 打开 该 功能 ,在 互联 网 中 关闭 该 功能 。 

6. 安全 记录 

当 运 行 了 防火 墙 并 且 想 检测 一 下 它 的 效果 时 , 便 可 以 查看 天 网 防火 墙 的 安全 记录 。 在 
安全 记录 中 ,天 网 防火 墙 会 提供 它 发 现 的 所 有 进入 数据 流 的 来 源 IP 地 址 、 使 用 的 协议 、 端 
口 、 针 对 数据 进行 的 操作 、 时 间 等 基本 信息 。 在 使 用 过 程 中 , 短 短 半 个 小 时 里 ,天 网 便 截获 了 
十 几 条 进攻 的 数据 流 . 绝 大 多 数 都 是 特洛伊 木马 类 的 进攻 ,可见 网 络 的 危险 。 
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4.3 透 过 防火 墙 日 志 看 系统 安全 


【实验 日 的 】 

防火 墙 日 志 可 以 说 是 一 盘 大 杂烩 ， 其 生 安 保存 系 统 收 到 的 各 种 不 安全 信息 的 时 间 、 类 型 
等 。 通 过 分 析 这 些 日 志 , 可 以 发 现 曾 经 发 生 过 或 正在 进行 的 系统 入 侵 行为 。 

防火 墙 日 志 并 不 复杂 ,但 要 看 懂 它 还 是 需要 了 解 一 些 基 础 概念 (如 端口 .协议 等 )。 尽 管 
每 种 防火 墙 日 志 都 不 一 样 , 但 在 记录 方式 上 大 同 小 异 ,主要 包括 : 时 re 
或 Block) .通信 类 型 . 源 IP 地 址 、 源 端口 .目标 地 址 和 目标 端口 等 。 下 面 以 天 网 防火 墙 日 志 
为 例 , 了 解 如 何 分 析 防 火 墙 日 志 , 进 而 找 出 系统 漏洞 和 可 能 存在 的 攻击 行为 。 

天 网 防火 墙 会 把 所 有 不 合 规则 的 数据 包 拦 截 并 记录 到 日 志 中 ,如 果 选 择 了 监视 所 有 
TCP 和 UDP 数据 包 , 那 么 发 送 和 接收 的 每 个 数据 包 都 将 被 记录 。 

【实验 环境 】 

A 机 器 安装 了 防火 墙 ,B 机 器 没有 安装 防火 墙 。 

【实验 名 称 】 

ping 测试 。 

【实验 步骤 】 

(1) 按 默 认 安装 ,这 时 A ping B 成 功 .但 B ping A 显示 为 “Time out”, 且 A 的 日 志 中 有 
4 个 数据 包 探 测 信息 (注意 : 车 规则 修改 后 一 定 要 保存 , 单 击 “ 磁 盘 ” 按 钮 ) 。 

(2) 修改 相关 IP 清册 使 B 机 器 ping A 机 器 显示 允许 记录 。 

(3) 查看 日 志 ( 图 4-26, 图 4-27)。 

















[10:33: 13] 192, 168. 15, 35 尝试 用 Ping 来 探测 本 机 ， 
该 操作 被 拒绝 。 
[10:10:01] 接 疏 到 219. 220. 237. 254 的 IGIF 数据 也， 


[10:33: 14] 192, 168. 15. 35 尝试 用 Ping 来 探测 本 机 ， 
该 包 被 拦截 。 该 党 作 被 拒绝 。 


[10;33:15] 顽 168. 15, 间 尝试 用 Ping 来 探测 本 机 ， 





图 4-26 A 机 安装 防火 墙 图 4-27 A 机 修改 了 P 规则 后 
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【实验 名 称 】 

资源 共享 。 

【 实验 步骤 】 

(1) 禁止 BB 机 器 共享 A 机 器 资源 并 记录 ( 注 : 机 器 要 重新 启动 才 可 能 成 功 ) 。 

(2) 将 相关 IP 规则 设置 “拦截 ” 改 为 “通行 "再 测试 。 此 时 日 志 中 有 “139” 端 口 操作 被 多 
许 。 若 是 IP 则 找 不 到 ,若是 机 器 名 则 能 够 找到 。 

(3) 查看 日 志 ( 如 图 4-28, 图 4-29) 。 


[10:40: 14] 192. 168. 15. 35 试 图 连接 本 机 的 NetBios-SSW[139] 端 口 
CP 标志 ， 5， 
i 


[10:40:14] i 如 35 试 图 连接 本 机 的 445 端 口 ， 
i 


[10:41:31] 撞 收 到 219. 220. 235. 254 的 ICGIP 数据 包 ， 
该 包 被 拦截 。 

[10:42:26] 192, 168. 15. 35 试 图 连 撞 本 机 的 445 端 口 ， 
Sh. 





图 4-28 拒绝 访问 图 4-29 人 允许 


【实验 总 结 】 

将 安全 级 别 设置 为 * 低 ”“ 中 ”、“ 高 "“ 自 定义 ”时 ,IP 与 资源 共享 访问 的 区 别 如 下 。 

(1) 低 : B 机 能 够 ping 通 A 机 ,B 机 能 够 访问 A 机 资源 共享 。 

(2) 中 : B 机 不 能 ping 通 A 机 .B 机 能 够 访问 A 机 资源 共享 。 

(3) 高 : B 机 不 能 ping 通 A 机 ,B 机 不 能 访问 A 机 资源 共享 。 

(4) 自 定义 : 按 IP 规则 设置 ,用 户 可 以 根据 自己 的 需要 调整 自己 的 安全 级 别 ,方便 


4.4 ”测试 防火 墙 系统 


测试 的 目的 是 为 了 知道 防火 墙 是 否 按照 想象 中 的 意图 来 工作 的 。 在 此 之 前 必须 制定 一 
个 完整 的 测试 计划 ,测试 的 意图 主要 集中 在 路 由 、 包 过 滤 .日 志 记 录 与 警报 的 性 能 上 ,测试 当 
防火 墙 系统 处 于 非 正 常 工 作 状 态 时 的 恢复 防御 方案 ,设计 初步 测试 组 件 , 其 中 比较 重要 的 测 
试 包括 : 硬件 测试 (处 理 器 .内 外 储存 器 、 网 络 接口 等 )` 操 作 系统 软件 (引导 部 分 、 控 制 台 访 
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问 等 )、 防 火 墙 软件 .网络 互 连 设备 (交换 机 、 集 线 器 等 )、 防 火 墙 配置 软件 .路 由 型 规则 、 包 过 
滤 规 则 与 关联 日 志 、 警 报 选项 。 

测试 与 校 验 防 火 墙 系统 有 利于 提高 防火 墙 的 工作 效率 ,使 其 发 挥 令 人 满意 的 效果 。 必 
须 了 解 每 个 系统 组 件 有 可 能 出 现 的 错误 与 各 种 错误 的 恢复 处 理 技 术 。 一 旦 在 规划 下 有 防火 
墙 系统 出 现 非 工 作 状 态 , 就 需要 去 及 时 进行 恢复 处 理 了 。 

造成 防火 墙 系统 出 现 突破 口 的 最 常见 原因 就 是 防火 墙 配置 问题 。 需 要 在 所 有 的 测试 项 
目 之 前 做 一 个 全 面 的 针对 配置 的 测试 (例如 路 由 功能 . 包 过 滤 .日 志 处 理 能 力 等 ) 。 

1. 建立 一 个 测试 计划 

需要 做 一 个 计划 ,让 系统 本 身 去 测试 防火 墙 系统 与 策略 的 执行 情况 ,然后 测试 系统 的 执 
行情 况 。 

(1) 建立 一 个 所 有 可 替代 的 系统 组 件 的 列表 ,用 来 记录 一 些 会 导致 防火 墙 系统 出 错 的 
敏感 故障 。 

(2) 为 每 一 个 组 件 建立 一 个 简短 的 特征 说 明 列 表 , 用 语言 阐述 其 对 防火 墙 系统 运作 的 
影响 。 不 必 理 会 这 些 影 响 对 防火 墙 系统 的 损害 类 型 与 程度 和 其 可 能 发 生 的 系数 高 低 。 

(3) 为 每 一 个 关联 的 故障 类 型 设计 一 个 特定 的 情况 或 某 个 指标 去 模拟 它 , 设 计 一 个 组 
冲 方案 去 削弱 它 对 系统 的 冲击 性 破坏 。 

例如 ,一 个 测试 的 特定 情况 是 运行 防火 墙 软件 的 主机 系统 出 现 不 可 替换 的 硬件 问题 时 ， 
且 这 个 硬件 将 会 影响 到 信息 通信 的 枢纽 问题 ,如 网 络 适配器 损坏 ,模仿 这 个 类 型 的 故障 可 以 
简单 地 拔 出 该 网 络 接口 。 

至 于 防御 ,恢复 策略 的 例子 可 以 是 做 好 一 整套 的 后 备 防 火 墙 系统 , 当 信息 包 出 现 延 误 等 
问题 时 在 最 短 的 时 间 内 将 机 器 替换 。 

测试 一 个 策略 在 系统 中 的 运作 情况 是 很 困难 的 。 要 用 尽 方法 去 测试 IP 包 过 滤 设 置 是 
不 可 行 的 ,这 样 可 能 出 现 很 多 种 情况 。 最 好 使 用 分 界 测试 (分 部 测试 ) 来 取代 总 体 测试 。 在 
这 些 测 试 上 ,必须 确定 实施 的 包 过 滤 规 则 与 每 个 分 块 之 间 的 分 界线 ,这 样 需要 做 到 以 下 
几 点 。 

(1) 为 每 个 规则 定义 一 个 边界 规则 。 

通常 ,每 个 规则 的 必要 参数 都 会 有 一 个 或 两 个 边界 点 。 在 这 个 区 域 里 将 会 被 划分 为 一 
个 多 面 型 的 包 特征 区 。 通 常 划分 的 特征 包括 通信 协议 、 源 地 址 、 目 标 地 址 \ 源 端口 、 目 标 端 口 
等 。 基 本 上 ,每 种 包 特征 都 可 以 独立 地 去 配对 包 过 滤 规 则 在 区 域 里 所 定义 的 数值 尺度 。 例 
如 ,其 中 一 个 规则 允许 TCP 包 从 任何 主机 发 送 到 该 Web 服务 器 的 80 端口 ,这 个 例子 使 用 
了 三 个 配对 特征 (协议 .目标 地 址 .目标 端口 )。 在 这 个 实例 中 也 将 一 个 特征 区 划分 成 三 个 区 
域 : TCP 包 到 Web 服务 器 低 于 80 端口 .等 于 80 端口 ,大 于 80 端口 。 

(2) 必须 为 每 一 个 已 经 设置 好 的 区 域 做 一 些 信息 交换 的 测试 。 

(3) 确认 这 些 特 定 的 区 域 能 否 正 常 地 通过 与 拒绝 所 有 的 信息 交换 。 做 一 个 单独 的 区 
域 ,在 区 域 中 拒绝 或 者 通过 所 有 的 信息 交换 。 这 样 做 的 目的 是 为 了 划分 包 特 征 通信 的 区 域 
问题 。 

作为 一 个 综合 性 的 规则 群 , 它 可 以 是 一 种 比较 单一 的 处 理 机 制 ,并 且 有 可 能 是 没有 被 应 
用 过 的 。 若 是 没有 被 应 用 过 的 规则 群 ,这 要 求 一 群 人 去 反复 审核 它们 的 存在 性 并 要 求 有 人 
能 够 说 出 每 一 个 规则 所 需要 实施 的 意义 。 整 个 测试 计划 包括 案例 测试 、 配 置 测试 与 期 待 
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目标 。 

测试 路 由 配置 , 包 过 滤 规 则 (包括 特殊 服务 的 测试 ) 日志 功 能 与 警报 。 

测试 防火 墙 系统 整体 性 能 (例如 硬 / 软 件 故 障 恢复 .足够 的 日 志 存 储 容量 .日 志 档 案 的 容 
错 性 ,监视 追踪 器 的 性 能 问题 ) 。 
尝试 在 正常 或 不 正常 这 两 种 情况 下 进行 的 测试 。 
同样 也 需要 记录 在 测试 中 打算 使 用 的 工具 (扫描 器 、 监 测 器 ,还 有 漏洞 /攻击 探测 工具 )， 
并 且 相 应 地 测试 一 下 它们 的 性 能 。 

2. 获取 测试 工具 

逐步 使 用 各 种 防火 墙 测试 工具 能 够 知道 这 些 防火 墙 产 品 在 各 类 性 能 指标 上 是 否 存在 着 
不 足 ,各 种 类 型 的 防火 墙 测试 工具 包括 以 下 几 个 。 

(1) 网 络 通信 和 包 生 成 器 ,如 SPAK(Send Packets) IJPsend、Ballistay 

(2) 网 络 监视 器 ,如 TepDump 与 Network Monitor; 

(3) 端口 扫描 器 ,如 Strobe 与 NMAP; 

(4) 漏洞 探测 器 (可 以 扫描 到 一 定 的 有 效 范围 ,能 针对 多 种 漏洞 的 ); 

(5) 入 侵 测 试 系统 (Intrusion Detection Systems, IDS), 如 NFR (Network Flight 
Recorder) 与 Shadow。 

1) 测试 环境 中 测试 防火 墙 系统 的 功能 

建立 一 个 测试 框架 以 便 防火 墙 系统 能 在 两 台独 立 的 主机 之 中 连通 ,这 两 端 一 端 代表 外 
网 一 端 代表 内 网 。 

在 测试 时 要 确保 内 网 的 默认 网 关 为 防火 墙 系 统 ( 这 里 指 的 是 企业 级 带路 由 的 防火 墙 )， 
如 果 已 经 选择 好 一 个 完整 的 日 志 记 录 体 系 , 工 作 在 内 网 主机 与 日 志 记 录 主 机 之 间 的 话 ,那么 
就 可 以 进行 日 志 记录 选项 测试 了 。 如 果 日 志 记 录 在 防火 墙 机 器 上 完成 的 话 , 可 以 直接 使 用 
内 网 机 器 连 上 去 。 

把 安装 有 扫描 器 与 嗅 探 器 的 机 器 安置 在 拓扑 的 内 部 与 外 部 ,用 于 分 析 与 捕捉 双向 的 通 
信和 问题 与 通信 情况 (数据 从 内 到 外 .从 外 到 内 )。 

测试 执行 的 步骤 如 下 。 

(1) 停止 包 过 滤 。 

(2) 注入 各 类 包 用 于 演示 路 由 规则 并 通过 防火 墙 系统 。 

(3) 通过 防火 墙 的 日 志 与 扫描 器 的 结果 来 判断 包 的 路 由 是 否 准 确 。 

(4) 打开 包 过 滤 。 

(5) 接 人 网 间 通 信 ,为 各 种 协议 .所 有 端口 有 可 能 使 用 的 源 地 址 与 目标 地 址 的 网 间 通 
信 摄 取样 本 记录 。 

(6) 确认 应 该 被 堵塞 (拒绝 ) 的 包 被 堵塞 了 。 例 如, 如果 所 有 的 UDP 包 被 设置 为 被 墙 
塞 ,要 确认 没有 一 个 UDP 包 通 过 ,还 要 确认 被 设置 为 通过 或 脱离 (允许 ) 的 包 被 通过 和 脱离 
了 。 可 以 通过 防火 墙 的 日 志 与 扫描 器 的 分 析 来 得 到 这 些 实验 的 结果 。 

(7) 扫描 那些 被 防火 墙 允许 与 拒绝 的 端口 ,查看 防火 墙 系 统 是 否 与 设置 时 预期 的 一 样 。 

(8) 检查 一 下 包 过 滤 规 则 中 日 志 选 项 参数 ,测试 一 下 日 志 功 能 是 否 在 所 有 网 络 通信 中 
能 像 预期 中 那样 工作 。 

(9) 测试 在 所 有 网 络 通信 中 出 现 预定 警报 时 是 否 有 特定 的 目的 者 (如 防火 墙 系统 管理 
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员 ) 与 特殊 的 行动 (页 面 显 示 与 E-mail 通知 )。 

上 述 的 步骤 需要 至 少 两 个 人 一 步 步 计 划 与 实施 : 最 初 由 某 一 个 人 负责 整个 工程 的 实 
施 , 包 括 路 由 配置 .过 滤 规 则 日志 选 项 警报 选项 ,而 另外 一 个 人 负责 工程 的 复 检 工作 ,鉴定 
每 个 部 分 的 工作 程序 ,商定 网 络 的 拓扑 与 安全 策略 的 实施 是 否 恰当 。 

2) 在 实施 环境 中 测试 防火 墙 系统 的 功能 

在 这 个 步骤 必须 把 环境 从 单 层 次 的 体系 结构 演变 为 多 层次 的 体系 结构 。 

这 个 步骤 也 同样 需要 设 定 一 个 联合 有 一 个 或 几 个 私 网 与 公 网 的 网 络 拓扑 环境 。 在 公 网 
主要 是 定义 向 内 网 进行 如 WWW(HTTP) .FTP、E-mail(SMTP) .DNS 这 样 的 请 求 的 应 答 ， 
有 时 也 会 向 内 网 提供 诸如 SNMP、 文 件 访问 、 登 录 等 服务 。 在 公 网 里 主机 也 可 以 被 描述 为 
DMZ( 非 军事 区 ), 在 内 网 则 被 定义 为 内 网 各 用 户 的 工作 站 。 

测试 执行 的 步骤 如 下 。 

(1) 把 防火 墙 系统 连接 到 内 外 网 的 拓扑 之 中 。 

(2) 设置 内 外 网 主机 的 路 由 配置 ,使 其 能 通过 防火 墙 系统 进行 通信 。 这 一 步 的 选择 是 
建立 在 一 个 service-by-service 的 基础 上 ,例如 ,一 台 在 公 网 的 Web 服务 器 有 可 能 要 去 访问 
某 台 在 私 网 的 某 台 主机 上 的 一 个 文件 。 围 绕 着 这 个 类 型 的 服务 还 有 Web、 文 件 访问 、 
DNS 等 。 

(3) 测试 防火 墙 系统 能 否 记 录 “ 进 入 ”或 者 “外 出 ”的 网 络 通 信 。 可 以 使 用 扫描 器 与 网 络 
嗅 探 器 来 确认 这 一 点 。 

(4) 确认 应 该 被 堵塞 (拒绝 ) 的 包 被 堵塞 了 。 例 如 ,如 果 所 有 的 UDP 包 被 设置 为 被 堵 
塞 , 要 确认 没有 一 个 UDP 包 通过 了 ,还 要 确认 被 设置 为 通过 或 脱离 (允许 ) 的 包 被 通过 和 脱 
离 了 。 可 以 通过 防火 墙 的 日 志 与 扫描 器 的 分 析 来 得 到 这 些 实验 的 结果 。 

(5) 仔细 地 扫描 网 络 内 的 所 有 主机 (包括 防火 墙 系统 )。 检 查 扫 描 的 包 是 否 被 堵塞 ,从 
而 确认 不 能 从 中 得 到 任何 数据 信息 。 尝 试 使 用 特定 的 “认证 端口 "如 使 用 FTP 的 20 端口 ) 
发 送 包 去 扫描 各 端口 的 存活 情况 ,看 看 这 样 能 不 能 脱离 防火 墙 的 规则 限制 。 

(6) 可 以 把 入 侵 测 试 系统 安装 在 这 个 虚拟 网 络 环境 或 现实 网 络 环境 中 ,帮助 了 解 与 测 
试 这 个 包 过 滤 规 则 能 否 保护 该 系统 与 网 络 对 抗 现 有 的 攻击 行为 。 要 做 到 这 样 将 需要 在 基本 
的 规划 上 运行 这 一 类 的 工具 并 定期 分 析 结 果 。 当 然 , 可 以 将 这 一 步 的 测试 工作 推迟 到 完全 
地 配置 好 整个 新 的 防火 墙 系统 之 后 。 

(7) 检查 包 过 滤 规 则 中 日 志 选 项 参数 ,测试 一 下 日 志 功 能 是 否 在 所 有 网 络 通信 中 能 像 
预期 中 那样 工作 。 

(8) 测试 在 所 有 网 络 通信 中 出 现 预 定 警报 时 ,是 否 有 特定 的 目的 者 (如 防火 墙 系统 管理 
员 ) 与 特殊 的 行动 (页 面 显示 与 E-mail 通知 ) 。 

最 后 ,应 该 先 把 新 的 防火 墙 系统 安装 在 内 网 中 ,并 配置 通过 ,然后 再 接 上 外 网 接口 。 为 
了 降低 最 后 阶段 测试 所 带 来 的 风险 .管理 员 可 以 在 内 网 连 上 少量 的 机 器 (主管 理 机 器 群 与 防 
火 墙 系统 ) , 当 测试 通过 后 才 逐 步 增加 内 网 的 机 器 数目 。 

3. 选 定 与 测试 日 志文 件 的 内 容 特征 

当日 志文 件 出 现存 放空 间 不 足 时 :需要 设置 防火 墙 系统 自行 反应 策略 。 下 面 有 几 种 相 
关 的 选择 。 

(1) 防火 墙 系统 关闭 所 有 相关 的 外 网 连接 。 
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(2) 继续 工作 ,新 日 志 复 写 人 原 最 旧 的 日 志 空间 中 。 
(3) 继续 工作 ,但 不 做 任何 日 志 记录 。 
第 一 个 选择 是 最 安全 但 又 不 允许 使 用 在 防火 墙 系统 上 的 。 可 以 尝试 模拟 防火 墙 系统 在 
日 志 空 间 被 全 部 占用 时 的 运行 状态 ,尝试 能 否 达 到 所 选择 的 预期 效果 。 
选择 与 测试 适当 的 日 志 内 容 选项 ;3 这 些 选 项 包括 以 下 几 个 。 
(1) 日 志文 件 的 路 径 ( 例 如 防火 墙 本 地 或 远程 机 器 的 储存 器 ) ; 
(2) 日 志文 件 的 存档 时 间 段 ; 
(3) 日 志文 件 的 清除 时 间 段 。 
测试 防火 墙 系统 : 每 一 个 相关 联 的 故障 都 应 该 写 人 测试 报告 (整个 测试 过 程 的 第 一 
步 ) ,尝试 执行 与 模拟 所 有 可 能 发 生 的 特定 情况 ,并 测试 相应 的 舒缓 策略 与 评估 其 影响 的 破 
坏 指 数 。 
4. 扫描 缺陷 
使 用 一 系列 的 缺陷 (漏洞 等 ) 探 测 工具 扫描 防火 墙 系统 ,查看 有 和 否 探测 出 存在 着 已 经 被 
发 现 的 缺陷 类 型 。 若 探测 工具 探测 出 有 此 类 缺陷 的 补丁 存在 ,请 安装 并 重新 进行 扫描 操作 ， 
这 样 可 以 确认 缺陷 已 被 消除 。 
5. 设计 初步 的 渗透 测试 环境 
在 正常 工作 的 情况 下 , 选 定 一 个 特定 的 测试 情况 集 来 进行 渗透 测试 。 二 
情况 包括 出 入 数据 包 是 否 已 经 被 路 由 、 过 滤 、 记 录 , 且 在 此 基础 上 和 些 特 殊 服 务 
(WWW .E-mail、.FTP 等 ) 也 能 在 预期 中 进行 此 类 处 理 。 
一 旦 需要 新 的 防火 墙 系统 加 入 到 正常 的 工作 环境 时 .可 以 在 改变 网 络 现状 前 选择 使 用 
一 系列 的 测试 来 检验 该 改变 是 否 会 为 正常 的 工作 带 来 什么 负面 影响 
6. 准备 把 系统 投入 使 用 
在 完成 整个 防火 墙 系统 的 测试 之 前 ,必须 建立 与 记录 一 套 ”密码 ”通信 机 制 或 其 他 的 安 
全 基准 手段 :以便 可 以 与 防火 墙 系统 进行 安全 的 交流 与 管理 。 
在 完成 测试 过 程 时 必须 做 一 个 配置 选项 列表 的 备份 。 
7. 准备 进行 监测 任务 
监控 网 络 的 综合 指数 .吞吐 量 以 及 防火 墙 系统 是 确保 已 经 正确 地 配置 安全 策略 并 且 这 
些 安全 策略 在 正常 执行 的 唯一 途径 。 
确保 该 安全 策略 ,程序 .工具 等 资源 处 于 必要 的 位 置 以 便 能 很 好 地 监控 该 网 络 与 机 器 
群 ,包括 防火 墙 系统 。 
注意 事项 , 组 织 或 团队 做 防火 墙 系统 、 防 火 墙 网 络 等 安全 测试 行为 应 该 注意 以 下 几 点 。 
(1) 测试 的 防火 墙 系统 必须 在 能 监控 的 环境 下 进行 。 
(2) 防火 墙 系统 在 每 次 出 现 配置 或 结构 更 改 时 应 该 重新 进行 渗透 测试 。 
(3) 定期 升级 渗透 测试 组 件 用 于 测试 防火 墙 系统 的 配置 状况 。 
(4) 定期 升级 与 维护 保护 区 中 的 各 种 应 用 程序 ,操作 系统 、 常 用 组 件 与 硬件 。 
(5) 监控 所 有 网 络 与 系统 ,包括 防火 墙 系统 ,这 是 非常 有 必要 的 。 
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4.5 360 安全 卫士 防火 墙 


4.5.1 管理 网 速 


在 使 用 计算 机 的 时 候 , 有 的 软件 会 占用 大 部 分 网 速 和 带宽 ,特别 是 一 些 下 载 工具 ,直接 
把 网 速 和 带宽 全 部 占用 ,导致 其 他 软件 或 应 用 根本 无 法 使 用 带宽 ,甚至 打开 网 页 都 很 卡 ,如 
何 限制 和 管理 网 速 是 比较 重要 的 问题 。 





【实验 日 的 】 
使 用 360 安全 卫士 的 防火 墙 功 能 ,对 计算 机 的 网 速 进行 有 效 的 管理 。 
【实验 步骤 】 


(1) 在 计算 机 桌面 右 下 角 的 任务 栏 里 找到 360 安全 卫士 的 图 标 , 单 击 右键 ,弹出 菜单 ， 
选择 “流量 防火 墙 " 命 令 , 如 图 4-30 所 示 。 
或 者 单 击 360 的 加 速球 , 单 击 右键 ,弹出 菜单 ,选择 “看 网 速 " 命 令 ( 如 图 4-31 所 示 )。 
Fe fe? 
E 360 安 全 卫士 已 保护 你 的 虹 脑 3 天 


360 用 户 登 录 
隅 高 种 箱 





图 4-30 流量 防火 墙 图 4-31 看 网 速 


(2) 进入 360 流量 防火 墙 后 ,可 以 查看 到 计算 机 目前 开启 的 所 有 软件 使 用 网 速 的 情况 ， 
包括 当前 上 传 和 下 载 的 速度 ,已 使 用 的 流量 大 小 等 。 可 以 设置 其 上 传 和 下 载 的 速度 ,限制 其 
使 用 网 速 (如 图 4-32 所 示 )。 

(3) 单 击 右键 , 可 以 完全 禁止 访问 网 络 ,或 者 结束 进程 关闭 程序 ,以 及 其 他 一 些 操作 ， 
这 样 可 以 管理 计算 机 的 网 络 速度 .一 旦 发 现 网 络 有 问题 ,就 可 以 这 样 操作 (如 图 4-33 
所 示 ) 。 
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50 法 电 防 火 证 
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当前 有 52 个 程序 正在 访问 同 络 或 上 经 访 癌 ip3 络 ， 闪 建立 331 个 这 接 ， 暂 未 发 预 本色 各 让 在 。 
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名 称 | 安全 等 驾 | 。 下 载 覃 度 | 上 传 束 帮 | 限制 下 载 | 限制 上 傅 | 已 下 载 祝 里 | 己 上 传 流量 | 连 棕 独 | 管理 ^ 
@ Mo ec 安全 OKB/S OkB/S 网 制 串 。 制 四。 145.2MB 98M8 66 己 
La oes okas 加 5 中 24h8 35M 3 所 
& Bd ‘owas oras [Dras md) 岂 11MB 2121K8 11 以 
觅 插件 Qqq 主 程 床 - 
国 ]] moreepetoneiSF 2 aas ookas 加 i。 4 26858 10 以 
过 360REE yaaj 当 2.。。 要 全 os okas 有 制 中 日 2039%8 3478 5 马 
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正在 话 扩 由 的 程序 (38) | 内 本 不 吉 有 务 (14】 | 所 有 程 到 








刷 理 网 连 。。 网络 休 检 。。 保护 网 过 。 局 村 网 站 护 。。 防 溺 阿 。。 网 纺 过 接 。。 测 网 连 





当前 有 52 个 程序 正在 访问 53 络 或 兽 既 访问 网络 ， 闪 建 145 个 连接 ， 略 来 发 现 可 色香 序 让 在。 
生理 亿 伯 的 上 网 思 度 ,看 PI 、 看 视频 、 于 网络 基 戏 新 可 通过 管理 仙 制 上 有 过 的 访 j53 络 ， 加 羽 上 同 查 度 ， 

多 | 安全 涯 皮 | 下载 二 度 | 上 车 度 。 。 限制 下 载 。 。 限制 上 传 | 已 下 载 量 | 已 上 传 过 全 | 连接 玫 | 管理 “ 
TeamViewer_Service.exe 
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Thunderplatform. 
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360tray.exe 

二 360 顽 全 卫 十 的 时 故地 程 -。。 安全 | 革 
SystemWebServer.exe 
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国有 AppticationWebserver… 

[Ly Applcation Web Sever D,。 安全 
SpUpDateServer. 

so 全 - 色 

EVA Taobaoprotect.exe 5 届 





4-33 ”管理 网 络 速度 


4.5.2 局 域 网 防护 


计算 机 在 局 域 网 内 部 ,时 常会 有 掉 线 ,发 生 IP 冲突 、 受 到 各 种 ARP 攻击 (如 网 络 执法 
官 、 网 络 剪刀 手 、 局 域 网 终结 者 ) 等 这 些 问 题 。 这 些 问 题 的 产生 ,根源 都 是 ARP 欺骗 (ARP 
攻击 )。 在 没有 ARP 欺骗 之 前 ,数据 流向 是 这 样 的 : 网 关 一 本 机 。ARP 欺骗 之 后 ,数据 流 
向 是 这 样 的 ; 网 关 一 攻击 者 (“网 管 ") 一 本 机 ,本 机 与 网 关 之 间 的 所 有 通信 数据 都 将 流 经 攻 
击 者 (“网 管 ”), 所 以 “ 任 人 宰割 ”就 在 所 难免 了 。 
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【实验 日 的 】 

ARP 防火 墙 通过 在 系统 内 核 层 拦截 虚假 ARP 数据 包 以 及 主动 通告 网 关 本 机 正确 的 
MAC 地 址 ,可 以 保障 数据 流向 正确 ,不 经 过 第 三 者 ,从 而 保证 通信 数据 安全 、 保 证 网 络 
畅通 。 

【实验 步骤 】 

(1) 打开 360 安全 卫士 (如 图 4-34 所 示 )。 





安全 刘 5 归 有 2 
全 保护 上 网 安全 


的) 山 国信 
查 杀 收 氨 电脑 清理 优化 NO 速 二 


图 4-34 打开 软件 
(2) 在 360 安全 卫士 页 面 右 下 角 单 击 “ 功 能 大 全 ”一 “更 多 ”按钮 (如 图 4-35 所 示 ) 。 





SE -Ree | 


OOO a 


可 亲自 复 电脑 清理 优化 0 素 天 护 六 雪 





图 4-35 打开 “更 多 ” 
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(3) 在 “功能 大 全 ”中 , 单 击 "流量 防火 墙 ? 选 项 (如 图 4-36 所 示 ) 。 





主 界面 快 扫 入 口 : 宴 重 逢 过 到 充 量 防火 墙 。 郑 搜 到 比 。。 疙 搜 弄 jl 


图 4-36 工具 箱 
(4) 在 360 流量 防火 墙 页 面 .打开 “局 域 网 防护 ”弹出 如 图 4-37 所 示 界 面 。 





my 1 
四 ae | 
= 
保护 中 的 上 FS 由 器 : 192.168.7.1 洋芋 已 目 动 名 定 同 关 急 执 到 手 a0 直 
局 域 网 防护 己 开 启 ， 正 在 保护 您 的 上 网 安全 1 
Er 3 
Ee sn [==5 ) 
鲍 smrwaes Ey 


一 nn。 Te ， 开 8B 后 本 无 提 看 局 43 导 ,天 全 用 CED 
FTP、 失 事 打 印 机 等 设备 


4-37 局域网 防护 





(5)“ARP 防护 ”选项 。 

360ARP 防火 墙 默认 开启 防护 ,如 果 不 用 360Wifi 等 网 络 共 享 软件 ,可 以 把 “局 域 网 隐 
身 " 打 开 。( 注 意 : 如 果 要 使 用 本 机 Wif 共享 .局域网 打印 机 共享 等 ,请 不 要 打开 “局 域 网 隐 
身 ” 功 能 .) 
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小 结 


本 章 介绍 了 瑞星 个 人 防火 墙 软件 , 它 为 计算 机 提供 全 面 的 保护 ,有 效 地 监控 任何 网 络 连 
接 。 通 过 过 滤 不 安全 的 服务 ,防火 墙 可 以 极 大 地 提高 网 络 安全 ,同时 减 小 主机 被 攻击 的 风 
险 , 使 系统 具有 抵抗 外 来 非法 入 侵 的 能 力 ,防止 计算 机 和 数据 遭 到 破坏 。 本 章 还 介绍 了 天 网 
防火 墙 个 人 版 ,如 何 设 置 个 人 防火 墙 ,查看 防火 墙 的 日 志 , 分 析 日 志 可 以 使 系统 避免 人 侵 , 受 
到 保护 。 最 后 介绍 了 如 何 使 用 360 安全 卫士 防火 墙 功能 管理 网 速 , 如 何 防 止 ARP 攻击 进行 
计算 机 保护 。 





第 5 竟 Red Hat Linux 系统 安全 


5.1 Linux 系统 的 安全 


Linux 安全 体系 结构 的 核心 组 件 包 括 PAM 认证 机 制 . 访 问 控制 机 制 . 特 权 管 理 机 制 、 
安全 审计 和 其 他 安全 机 制 等 内 容 。 

1. PAM 认证 机 制 

PAM(PluggableAuthenticationModules) 是 由 Sun 提出 的 一 种 认证 机 制 , 其 目的 是 提 
供 一 个 框架 和 一 套 编程 接口 ,将 认证 工作 由 程序 员 交 给 管理 员 ,PAM 允许 管理 员 在 多 种 认 
证 方法 之 间 做 出 选择 , 它 能 够 改变 本 地 认证 方法 而 不 需要 重新 编译 与 认证 相关 的 应 用 程序 。 
PAM 为 更 有 效 的 认证 方法 的 开发 提供 了 便利 ,在 此 基础 上 可 以 很 容易 地 开发 出 替代 常规 
的 用 户 名 加 口令 的 认证 方法 。 

PAM 的 主要 功能 如 下 。 

(1) 加 密 口 令 ( 包 括 DES 以 外 的 算法 ); 

(2) 对 用 户 进行 资源 限制 ,防止 DDoS 攻击 ; 

(3) 允许 随意 Shadow 口令 ; 

(4) 限制 特定 用 户 在 指定 时 间 从 指定 地 点 登录 ; 

(5) 支持 C/S 结构 的 认证 交互 。 

2. 访问 控制 机 制 

访问 控制 机 制 是 用 于 控制 系统 中 主体 对 客体 的 各 种 操作 ,如 主体 对 客体 的 读 、 写 和 执行 
等 操作 。Linux 支持 自主 访问 控制 和 强制 访问 控制 操作 。 

1) 自主 访问 控制 

自主 访问 控制 是 比较 简单 的 访问 控制 机 制 , 其 基本 思想 如 下 。 

(1) 由 超级 用 户 或 授权 用 户 为 系统 内 的 用 户 设 置 用 户 号 (UID) 和 所 属 的 用 户 组 号 
(GID) ,系统 内 的 每 个 主体 (用 户 或 代表 用 户 的 进程 ) 都 有 了 唯一 的 用 户 号 ,并 归属 于 某 个 用 户 
组 ,每 个 用 户 组 具有 唯一 的 组 号 。 所 有 的 被 设置 的 用 户 信息 均 保存 在 系统 的 /etc/passwd 
文件 中 ,一 般 情 况 下 ,代表 用 户 的 进程 继承 该 用 户 的 UID 和 GID。 

(2) Linux 系统 利用 访问 控制 矩阵 来 控制 主体 对 客体 的 访问 。Linux 系统 将 每 一 个 客 
体 的 访问 主体 区 分 为 客体 的 属 主 (u) 客体 的 属 组 (g) ,以 及 其 他 用 户 (o) ,并 把 每 一 客体 的 
访问 模式 区 分 为 读 (rD) 、 写 (w) 和 执行 (x) ,所 有 这 些 信息 构成 了 一 个 完整 的 访问 控制 矩阵 。 

(3) 当 用 户 访问 客体 时 ,Linux 系统 会 根据 进程 的 UID、GID 和 文件 的 访问 控制 信息 来 
检查 用 户 访问 的 合法 性 。 

(4) 为 维护 系统 安全 性 ,对 于 某 些 客体 ,普通 用 户 不 应 具有 访问 权限 ,但 是 由 于 某 种 需 
要 ,用 户 又 必须 能 超越 对 这 些 客体 的 受 限 访 问 , 例 如 ,对 于 /etc/passwd 文件 ,用 户 虽 然 不 具 











第 5 章 Red HatLinux 系统 安全 65 





有 访问 权限 ,但 是 又 必须 允许 用 户 能 够 修改 该 文件 ,以 修改 自己 的 密码 。 针 对 这 类 问题 ， 
Linux 是 通过 setuid/setgid 程序 来 解决 的 。setuid/setgid 程序 可 以 使 代表 普通 用 户 的 进程 
不 继承 该 用 户 的 UID 和 GID, 而 是 继承 该 进程 所 对 应 的 应 用 程序 文件 的 所 有 者 的 UID 和 
GID, 即 使 普通 用 户 暂 时 获得 其 他 用 户 身 份 ,并 通过 该 身份 访问 客体 。 

2) 强制 访问 控制 

强制 访问 控制 (MandatoryAccessControl, MAC) 是 一 种 由 系统 管理 员 从 全 系统 的 角度 
定义 和 实施 的 访问 控制 , 它 通 过 标记 系统 中 的 主客 体 ,强制 性 地 限制 信息 的 共享 和 流动 ,使 
不 同 的 用 户 只 能 访问 到 与 其 相关 的 、 指 定 范 围 的 信息 。 

传统 的 MAC 都 是 基于 TCSEC 中 定义 的 MLS 策略 实现 的 , 较 典 型 的 强制 访问 控制 机 
制 有 SELinux、RSBAC 和 MAC 等 。 

(1) SELinux 安全 体系 结构 中 的 核心 组 件 是 一 个 安全 服务 器 ,其 中 定义 了 一 种 混合 的 
安全 性 策略 , 它 由 类 型 实施 (TE) .基于 角色 的 访问 控制 (RBAC) 和 多 级 安全 (MLS) 三 个 部 
分 组 成 。 通 过 替换 SELinux 的 安全 服务 器 ,可 以 支持 不 同 的 安全 策略 。SELinux 使 用 策略 
配置 语言 定义 安全 策略 ,然后 通过 checkpolicy 编译 成 二 进 制 形式 ,存储 在 文件 /ss_policy 
中 ,在 内 核 引 导 时 将 该 策略 读 到 内 核 空间 。 

(2) RSBAC(RuleSetBasedAccessControl) 能 够 基于 多 个 模块 提供 灵活 的 访问 控制 功 
能 。 在 RSBAC 中 ,所 有 与 安全 相关 的 系统 调用 都 扩展 了 安全 实施 代码 ,并 利用 这 些 代码 调 
用 中 央 决 策 部 件 , 然 后 由 该 决策 部 件 调用 所 有 被 激活 的 决策 模块 ,形成 安全 决策 ,最 后 再 由 
系统 调用 扩展 来 实施 这 个 安全 决策 。 

(3) MAC 可 以 将 一 个 运行 的 Linux 系统 分 隔 成 为 多 个 互相 独立 的 (或 者 互相 限制 的 ) 
子 系统 ,这 些 子 系统 可 以 作为 单一 的 系统 来 管理 。 

为 了 消除 对 超级 用 户 账 户 的 高 度 依赖 ,提高 系统 安全 性 ,从 Linux 的 2. 1 版 本 开始 ,在 
系统 内 核 中 引入 了 权能 的 概念 ,实现 了 基本 权能 的 特权 管理 机 制 。 这 种 新 的 特权 管理 机 制 
的 基本 思想 如 下 。 

(1) 利用 权能 把 系统 内 的 各 种 特权 进行 划分 ,使 同一 类 的 敏感 操作 具有 相同 的 权能 。 

(2) 超级 用 户 及 其 Shell 在 系统 启动 期 间 拥 有 全 部 权能 ,而 普通 用 户 及 其 Shell 不 具有 
任何 权能 。 

(3) 在 系统 启动 后 ,系统 管理 员 可 以 随时 剥夺 超级 用 户 的 某 些 权能 。 

(4) 用 户 进程 可 以 自动 放弃 所 具有 的 某 些 权能 ; 用 户 所 放弃 的 权能 ,在 系统 运行 期 间 
是 无 法 恢复 的 。 

(5) 新 创建 的 进程 所 拥有 的 权能 是 由 该 进程 所 代表 的 用 户 目 前 所 具有 的 权能 与 该 进程 
的 父 进程 的 权能 进行 与 运算 确定 的 。 

(6) 每 个 进程 的 权能 被 保存 在 进程 控制 块 的 cap_effective 域 中 ,这 是 一 个 32 位 的 整 
数 , 它 的 每 一 位 描述 一 种 权能 ,1 表示 拥有 与 该 位 相对 应 的 权能 ,0 表示 没有 。 对 于 普通 用 
户 , 仍 然 可 以 通过 setuid 程序 实现 某 些 特权 操作 。 

3. 特权 管理 机 制 

Linux 的 特权 管理 机 制 是 从 UNIX 继承 过 来 的 ,其 基本 思想 如 下 。 

(1) 普通 用 户 没 有 任何 特权 ,而 超级 用 户 拥有 系统 内 的 所 有 特权 。 

(2) 当 进 程 要 进行 某 种 特权 操作 时 ,系统 检查 进程 所 代表 的 用 户 是 否 为 超级 用 户 , 即 检 
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查 进程 的 UID 是 否 为 零 。 

(3) 当 普 通用 户 的 某 些 操作 涉及 特权 操作 时 ,通过 setuid/setgid 程序 来 实现 。 

在 这 种 特权 管理 机 制 下 ,系统 的 安全 完全 掌握 在 超级 用 户 手 上 ,一旦 非法 用 户 获 得 了 这 
个 超级 用 户 的 账户 ,就 等 于 获得 对 整个 系统 的 控制 权 ,系统 将 毫 无 安全 可 言 。 

4. 安全 审计 

Linux 系统 中 的 日 志 是 其 安全 体系 结构 中 的 重要 内 容 之 一 , 它 能 实时 记录 所 发 生 的 各 
种 操作 行为 ,能 为 检测 攻击 行为 提供 唯一 的 真实 证 据 。Linux 系统 提供 了 记录 网 络 .主机 和 
用 户 级 日 志 信息 的 能 力 , 所 记录 的 内 容 可 以 是 以 下 几 方 面 。 

(1) 所 有 系统 和 内 核 的 活动 信息 ; 

(2) 每 一 次 网 络 连 接 和 它们 的 源 IP 地 址 、 长 度 , 有 时 还 包括 攻击 者 的 用 户 名 和 使 用 的 
操作 系统 ; 

(3) 远程 用 户 申 请 访问 的 各 种 文件 ; 

(4) 用 户 可 以 控制 的 各 种 进程 ; 

(5) 具体 用 户 所 使 用 的 每 一 条 操作 命令 。 

Linux 系统 的 安全 审计 机 制 是 将 审计 事件 分 为 系统 事件 和 内 核 事 件 两 类 进行 管理 和 维 
护 的 。 系 统 事件 是 由 审计 服务 进程 syslogd 进行 维护 和 管理 的 ,而 内 核 事 件 是 由 内 核 审 计 
线程 klogd 进行 维护 和 管理 的 。syslogd 主要 用 于 捕获 和 记录 来 自 于 应 用 层 的 日 志 信 息 ; 
klogd 主要 用 于 捕获 和 记录 Linux 的 内 核 信息 。 

5. 其 他 安全 机 制 

1) 口令 保护 机 制 

为 了 增强 口令 的 安全 性 ,Linux 系统 提供 了 多 种 口令 保护 措施 ,这 些 保护 措施 主要 有 以 
下 几 种 。 

(1) 口令 脆弱 性 警告 ; 

(2) 口令 有 效 期 ; 

(3) 一 次 性 口令 ; 

(4) 口令 加 密 算法 ; 

(5) 影子 文件 ; 

(6) 账户 加 锁 。 

2) 自主 访问 控制 的 增强 机 制 

Linux 系统 提供 了 限制 性 Shell、 特 殊 属性 .限制 文件 加 载 以 及 加 密 文件 系统 等 增强 
功能 。 

(1) 限制 性 Shell: 通过 为 用 户 指定 一 个 功能 受 限 的 Shell 来 限制 用 户 的 某 些 行为 。 

(2) 特殊 属性 : 当 给 文件 设 定 只 能 追加 (append_only) \ 不 可 更 改 (immutable) 等 特殊 属 
性 时 ,对 这 些 文件 的 访问 只 受 对 应 特殊 属性 的 控制 而 不 受 自 主 访问 控制 机 制 的 控制 。 同 时 ， 
只 有 超级 用 户 才 能 编辑 这 些 属性 值 。 

(3) 限制 文件 加 载 : 通过 使 用 带 有 mount 选项 的 mount 命令 或 通过 配置 /etc/fatab 文 
件 ,Linux 系统 将 会 按 所 确定 的 mount 选项 来 加 载 文 件 系统 。 

(4) 加 密 文件 系统 (CryptographicFileSystem,CFS): CFS 就 是 通过 将 加 密 服务 引入 文 
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件 系统 来 提高 系统 的 安全 性 。CFS 是 基于 NFS 客户 /服务 器 运作 的 。 客 户 端 为 NFS 客户 
端 ,服务 器 端 为 CFSD。CFSD 既是 响应 客户 端 请 求 的 NFS 服务 器 ,又 是 加 密 / 解 密 引 擎 。 
CFSD 通过 标准 文件 系统 调用 接口 与 文件 系统 进行 交互 。 

3) 限制 超级 用 户 的 机 制 

Linux 系统 提供 了 以 下 三 种 限制 超级 用 户 操作 的 方法 。 

(1) 禁止 用 户 以 超级 用 户 账 户 登 录 , 但 可 以 通过 su 或 sudo 成 为 超级 用 户 ; 

(2) 超级 用 户 只 能 从 本 地 登录 系统 ,严禁 通过 网 络 登 录 ; 

(3) 禁止 通过 su 访问 超级 用 户 ,只 能 通过 sudo 监视 和 控制 超级 用 户 访问 。 

4) 网 络 安全 机 制 

(1) 安全 Shell: 安全 Shell 提供 了 UNIX/Linux 操作 系统 中 常用 的 telnet rlogin .rsh 
和 rcp 等 工具 的 蔡 代 程序 ,这 些 替代 程序 具有 安全 可 靠 的 主机 认证 、 用 户 身 份 认 证 .网 上 信 
息 加 密 传输 等 安全 功能 。 

(2) 入 侵 检测 系统 : 目前 比较 流行 的 人 侵 检测 系统 有 Snort、Portsentry 和 Lids 等 。 利 
用 这 些 工具 ,Linux 系统 就 具备 了 以 下 较 高 级 的 人 侵 检 测 能 力 。 

@ 记录 入 侵 企图 , 当 攻 击发 生 时 及 时 通知 管理 员 ; 

@ 当 已 知 攻 击发 生 时 ,能 及 时 采取 事先 规定 的 安全 措施 ; 

@ 可 以 伪装 成 其 他 操作 系统 ,向 外 发 送 一 些 错 误 信息 ,误导 攻击 者 ,使 攻击 者 认为 他 们 
正在 攻击 一 个 WindowsNT 或 Solaris 系统 。 

(3) 防火 墙 : Linux 系统 的 防火 墙 提供 了 以 下 一 些 功能 。 

@ 访问 控制 能 力 ; 

@ 安全 审计 能 力 ; 

@ 抗 攻 击 能 力 ; 

@ 其 他 附属 功能 ,如 与 审计 相关 的 报警 和 入 侵 检测 ,与 访问 控制 相关 的 身份 验证 ,加密 
和 认证 ,甚至 VPN 等 。 





5.2 Iptables [ 访 火 墙 


防火 墙 就 是 用 于 实现 Linux 下 访问 控制 的 功能 的 , 它 分 为 硬件 的 防火 墙 和 软件 的 防火 
墙 两 种 。 无 论 是 在 哪个 网 络 中 ,防火 墙 工 作 的 地 方 一 定 是 在 网 络 的 边缘 。 所 以 任务 就 是 需 
要 去 定义 防火 墙 该 如 何 工作 ,这 就 是 防火 墙 的 策略 、 规 则 ,以 达到 让 它 对 出 和 网络 的 IP、 数 

目前 市 面 上 比较 常见 的 有 三 、 四 层 的 防火 墙 , 叫 作 网 络 层 的 防火 墙 ,还 有 7 层 的 防火 墙 ， 
其 实 是 代理 层 的 网 关 。 

对 于 TCP/IP 的 7 层 模型 来 讲 ,第 三 层 是 网 络 层 ,三 层 的 防火 墙 会 在 这 层 对 源 地 址 和 目 
标 地 址 进行 检测 。 但 是 对 于 7 层 的 防火 墙 ,不管 源 端口 或 者 目标 端口 `. 源 地 址 或 者 目标 地 址 
是 什么 ,都 将 对 所 有 的 东西 进行 检查 。 所 以 ,对 于 设计 原理 来 讲 ,7 层 防火 墙 更 加 安全 ,但 是 
这 却 带 来 了 更 低 的 效率 。 所 以 市 面 上 通常 的 防火 墙 方案 ,都 是 两 者 结合 的 。 而 又 由 于 都 需 
要 从 防火 墙 所 控制 的 这 个 口 来 访问 ,所 以 防火 墙 的 工作 效率 就 成 了 用 户 能 够 访问 数据 多 少 
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的 一 个 最 重要 的 控制 ,配置 的 不 好 甚至 有 可 能 成 为 流量 的 瓶颈 。 

1. Iptables 的 历史 和 发 展 

Iptables 的 前 身 叫 Ipfirewall( 内 核 1. x 时 代 ) ,这 是 一 个 从 freeBSD 上 移植 过 来 ,能 够 工 
作 在 内 核 当 中 ,对 数据 包 进 行 检测 的 简易 访问 控制 工具 。 但 是 Ipfirewall 工作 功能 极其 有 
限 ( 它 需要 将 所 有 的 规则 都 放 进 内 核 当 中 ,这 样 规则 才能 够 运行 起 来 ,而 放 进 内 核 这 个 做 法 
一 般 是 极其 困难 的 ) 。 当 内 核发 展 到 2. x 系列 的 时 候 , 软 件 更 名 为 Ipchains, 它 可 以 定义 多 
条 规则 ,将 它们 串 起 来 ,共同 发 挥 作用 。 而 现在 , 它 叫 作 Iptables, 可 以 将 规则 组 成 一 个 列 
表 , 实 现 绝对 详细 的 访问 控制 功能 。 

它们 都 是 工作 在 用 户 空间 中 定义 规则 的 工具 ,本 身 并 不 算是 防火 墙 。 它 们 定义 的 规则 ， 
可 以 让 在 内 核 空间 当中 的 netfilter 来 读 取 , 并 且 实 现 让 防火 墙 工 作 。 而 放 入 内 核 的 地 方 必 
须 是 特定 的 位 置 ,必须 是 TCP/IP 的 协议 栈 经 过 的 地 方 。 而 这 个 TCP/IP 协议 栈 必须 经 过 
的 可 以 实现 读 取 规 则 的 地 方 就 叫 作 netfilter( 网 络 过 滤器 ) 。 

在 内 核 空 间 中 一 共 选 择 了 以 下 5 个 位 置 。 

(1) 内 核 空 间 中 : 从 一 个 网 络 接口 进来 ,到 另 一 个 网 络 接口 去 的 位 置 。 

(2) 数据 包 从 内 核 流入 用 户 空间 的 位 置 。 

(3) 数据 包 从 用 户 空 间 流出 的 位 置 。 

(4) 进入 /离开 本 机 的 外 网 接口 。 

(5) 进入 /离开 本 机 的 内 网 接口 。 

2.Iptables 的 工作 机 制 

从 上 面 的 描述 ,可 以 得 知 选择 了 5 个 位 置 来 作为 控制 的 地 方 。 其 实 前 三 个 位 置 已 经 基 
本 上 能 将 路 径 彻 底 封锁 了 ,但 是 为 什么 已 经 在 进出 的 口 设置 了 关卡 之 后 还 要 在 内 部 卡 呢 ? 
于 数据 包 尚 未 进行 路 由 决策 ,还 不 知道 数据 要 走向 哪里 ,所 以 在 进出 口 是 没 办 法 实现 
数据 过 滤 的 。 所 以 要 在 内 核 空间 里 设置 转发 的 关卡 : 进入 用 户 空间 的 关卡 ,从 用 户 空 间 出 
去 的 关卡 。 那 么 ,既然 它们 没什么 用 , 那 为 什么 还 要 放置 它们 呢 ? 因为 在 做 NAT 和 DNAT 
的 时 候 , 目 标 地 址 转换 必须 在 路 由 之 前 转换 ,所 以 必须 先 在 外 网 而 后 内 网 的 接口 处 进行 设置 
> 

这 5 个 位 置 也 被 称 为 5 个 钩子 函数 ,也 叫 5 个 规则 链 。 

(1) PREROUTING( 路 由 前 ) 。 

(2) INPUT( 数 据 包 流入 口 )。 

(3) FORWARD( 转 发 管 卡 ) 。 

(4) OUTPUT( 数 据 包 出 口 ) 。 

(5) POSTROUTING( 路 由 后 ) 。 

这 是 NetFilter 规定 的 5 个 规则 链 , 任 何 一 个 数据 包 , 只 要 经 过 本 机 , 必 将 经 过 这 5 个 链 
中 的 其 中 一 个 链 。 

3. 防火 墙 的 策略 

防火 墙 策略 一 般 分 为 两 种 ,一 种 叫 * 通 ”策略 ,一 种 叫 *“ 堵 ”策略 。 通 策略 ,默认 门 是 关 着 
的 ,必须 要 定义 谁 能 进 。 堵 策略 则 是 ,大 门 是 打开 的 .但 是 必须 有 身份 认证 ,否则 不 能 进 。 所 
以 要 定义 ,让 进来 的 进来 ,让 出 去 的 出 去 ,所 以 通 ,是 要 全 通 , 而 堵 , 则 是 要 选择 。 
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当 定 义 策略 的 时 候 , 要 分 别 定义 多 条 功能 ,其 中 : 定义 数据 包 中 人 允许 或 者 不 允许 的 策 
略 , 是 filter 过 滤 的 功能 ,而 定义 地 址 转换 的 功能 则 是 nat 选项 。 为 了 让 这 些 功 能 交替 工作 ， 
制定 出 了 * 表 ”这 个 定义 ,来 定义 、 区 分 各 种 不 同 的 工作 功能 和 处 理 方式 。 

现在 用 的 比较 多 的 功能 有 以 下 三 个 。 

(1) filter: 定义 允许 或 者 不 允许 的 。 

(2) nat: 定义 地 址 转换 。 

(3) mangle: 修改 报 文 原 数 据 。 

修改 报 文 原 数据 就 是 来 修改 TTL ,能够 实现 将 数据 包 的 元 数据 拆 开 , 在 里 面 做 标记 / 修 
改 内 容 。 而 防火 墙 标 记 , 其 实 就 是 靠 mangle 来 实现 的 。 

对 于 filter 来 讲 ,一 般 只 能 做 在 三 个 链 上 : INPUT,FORWARD,OUTPUT。 

对 于 nat 来 讲 ,一 般 也 只 能 做 在 三 个 链 上 : PREROUTING,OUTPUT,POSTROUTING。 

而 mangle 则 是 5 个 链 都 可 以 做 : PREROUTING,INPUT,FORWARD,OUTPUT， 
POSTROUTING。 

Iptables/netfilter( 软 件 ) 是 工作 在 用 户 空 间 的 , 它 可 以 让 规则 进行 生效 ,本 身 不 是 一 种 
服务 ,而 且 规 则 是 立即 生效 的 。 而 Iptables 现在 被 做 成 了 一 个 服务 ,可 以 进行 启动 .停止 。 
启动 , 则 将 规则 直接 生效 ; 停止 , 则 将 规则 撤销 。 

Iptables 还 支持 自己 定义 链 。 但 是 自己 定义 的 链 , 必 须 是 跟 某 种 特定 的 链 关 联 起 来 的 。 
在 一 个 关卡 设 定 ,指定 当 有 数据 的 时 候 专门 去 找 某 个 特定 的 链 来 处 理 , 当 那 个 链 处 理 完 之 
后 ,再 返回 ,接着 在 特定 的 链 中 继续 检查 。 

命令 规则 的 写法 如 下 。 

iptables 定义 规则 的 方式 比较 复杂 .具体 如 下 。 

格式 : iptables [-t table] COMMAND chain CRETIRIA -j ACTION 

-t table: 三 个 filter nat mangle。 

COMMAND: 定义 如 何 对 规则 进行 管理 。 

chain: 指定 接 下 来 的 规则 是 在 哪个 链 上 操作 的 , 当 定义 策略 的 时 候 ,是 可 以 省 略 的 。 

CRETIRIA: 指定 匹配 标准 。 

-j ACTION: 指定 如 何 进 行 处 理 。 

比如 ,不 允许 172.16. 0. 0/24 的 进行 访问 ,命令 如 下 。 


iptables —t filter —A INPUT —s 172.16.0.0/16 -p udp —— dport 53 — j DROP 
如 果 想 拒绝 的 更 彻底 , 则 命令 如 下 。 


iptables -tfilter -RINPUT 1 -s172.16.0.0/16 -pudp -- dport 53 ~ j REJECT 

iptables -L -n -v ， 非 查看 定义 规则 的 详细 信息 。 

规则 的 次 序 非常 关键 , 谁 的 规则 越 严格 ,应 该 放 得 越 靠 前 ,而 检查 规则 的 时 候 , 是 按照 从 
上 往 下 的 方式 进行 检查 的 。 

4. 详解 COMMAND 

1) 链 管理 命令 (立即 生效 ) 

-P: 设置 默认 策略 ( 设 定 默认 门 是 关 着 的 还 是 开 着 的 ) 。 
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默认 策略 一 般 只 有 以 下 两 种 。 
Iptables 一 PINPUT(DROP\ACCEPT) 默 认 是 关 的 /默认 是 开 的 。 


比如 : 

Iptables-PINPUTDROP 拒绝 默认 规则 。 并 且 没 有 定义 哪个 动作 ,所 以 关于 外 界 连接 
的 所 有 规则 ,包括 Xshell 连接 之 类 的 ,远程 连接 都 被 拒绝 了 。 

-F: FLASH ,清空 规则 链 (注意 每 个 链 的 管理 权限 ) 。 


Iptables — tnat — FPREROUTING 


Iptables -tnat-F 清空 nat 表 的 所 有 链 。 

-N: NEW 支持 用 户 新 建 一 个 链 。 

Iptables -Ninbound_tcp_web 表示 附 在 tcp 表 上 用 于 检查 Web。 
-: 用 于 删除 用 户 自 定义 的 空 链 。 

使 用 方法 跟 -N 相同 ,但 是 在 删除 之 前 必须 要 将 里 面 的 链 给 清空 了 。 
-E: 主要 是 用 来 给 用 户 自 定义 的 链 重 命名 。 例 如 : 


— Eoldnamenewname 


-Z: 清空 链 及 链 中 默认 规则 的 计数 器 (有 两 个 计数 器 ,被 匹配 到 多 少 个 数据 包 , 多 少 个 
字 节 )。 例 如 ， 


Iptables 一 2 


2) 规则 管理 命令 

-A: 追加 ,在 当前 链 的 最 后 新 增 一 个 规则 。 

-Inum: 插入 ,把 当前 规则 插入 为 第 几 条 。 

-13: 插入 为 第 三 条 。 

-Rnum: Replays 替换 /修改 第 几 条 规则 。 

格式 : iptables-R3 

-Dnum: 删除 ,明确 指定 删除 第 几 条 规则 。 

3) 查看 管理 命令 “-L” 

附加 子 命 令 如 下 。 

-n: 以 数字 的 方式 显示 IP, 它 会 将 IP 直接 显示 出 来 ,如 果 不 加 -n, 则 会 将 IP 反 向 解析 
成 主机 名 。 

-v: 显示 详细 信息 。 

-vvv: 越 多 越 详细 。 

-x: 在 计数 器 上 显示 精确 值 , 不 做 单位 换算 。 

--line-numbers: 显示 规则 的 行 号 。 

-tnat: 显示 所 有 关卡 的 信息 。 

5. 详解 匹配 标准 

(1) 通用 匹配 : 源 地 址 目标 地 址 的 匹配 。 

-s: 指定 作为 源 地 址 匹配 ,这 里 不 能 指定 主机 名 称 ,必须 是 IP。 





第 5 章 Red Hat Linux 系统 安全 类 





IP|IP/MASK|0.0.0.0/0.0.0.0 


而 且 地 址 可 以 取 反 ,加 一 个 “!1” 表 示 除 了 指定 IP 之 外 。 

-d: 表示 匹配 目标 地 址 。 

-p: 用 于 匹配 协议 (这 里 的 协议 通常 有 三 种 : TCP,UDP,ICMP) 。 

-Ieth0; 从 这 块 网 卡 流入 的 数据 ,流入 一 般 用 在 INPUT 和 PREROUTING 上 。 

-oeth0: 从 这 块 网 卡 流出 的 数据 ,流出 一 般 在 OUTPUT 和 POSTROUTING 上 。 

(2) 扩展 匹配 。 

@ 隐 含 扩展 : 对 协议 的 扩展 。 

-ptcp: TCP 的 扩展 ,一 般 有 三 种 扩展 。 

--dportXX-XX: 指定 目标 端口 ,不 能 指定 多 个 非 连续 端口 ,只 能 指定 单个 端口 ,比如 ,-- 
dport21 或 者 --dport21-23( 此 时 表示 21,22,23) 。 

--sport: 指定 源 端口 。 

--tcp-fiags: TCP 的 标志 位 (SYN, ACK ,FIN,PSH,RST,URG)。 对 于 它 , 一 般 要 跟 以 
下 两 个 参数 。 

。 检查 的 标志 位 ; 

。 必须 为 1 的 标志 位 。 





—— tcpflagssyn, ack, fin, rstsyn= —- syn 


表示 检查 这 4 个 位 ,这 4 个 位 中 syn 必须 为 1, 其 他 的 必须 为 0。 所 以 这 个 命令 的 意思 
就 是 用 于 检测 三 次 握手 的 第 一 次 包 。 对 于 这 种 专门 匹配 第 一 次 包 的 SYN 为 1 的 包 , 还 有 一 
种 简写 方式 , 即 --syn。 

-pudp: UDP 的 扩展 。 

-一 dport 

-~ sport 

-picmp: ICMP 数据 报 文 的 扩展 。 

--icmp-type: 

echo-request( 请 求 回 显 ) ,一 般 用 8 来 表示 。 

所 以 --icmp-type8 匹配 请 求 回 显 数 据 包 。 

echo-reply( 响 应 的 数据 包 ) 一 般 用 0 来 表示 。 

@ 显 式 扩展 (-m): 扩展 各 种 模块 。 

-mmultiport: 表示 启用 多 端口 扩展 ,之 后 就 可 以 启用 。 例 如 : 





—— dports21,23,80 


6. 详解 -jACTION 
常用 的 ACTION 如 下 。 

DROP: 悄悄 丢弃 。 一 般 多 用 DROP 来 隐藏 身份 ,以 及 隐藏 链表 。 
REJECT: 明示 拒绝 。 

ACCEPT: 接受 。 
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custom_chain: 转向 一 个 自 定义 的 链 。 

DNAT: 目标 地 址 转换 ,在 刚刚 进来 的 网 卡 地 址 做 转换 。 

SNAT: 源 地 址 转换 ,在 即将 出 去 的 网 卡 地 址 做 转换 。 

MASQUERADE: 源 地 址 伪装 。 

REDIRECT( 重 定向 ): 主要 用 于 实现 端口 重 定向 。 

MARK: 做 防火 墙 标记 。 

RETURN: 返回 。 在 自 定 义 链 执行 完毕 后 使 用 RETURN 来 返回 原 规则 链 。 

例如 ,只 要 是 来 自 于 172. 16. 0.0/16 网 段 的 都 允许 访问 本 机 的 172. 16. 100. 1 的 SSHD 
服务 。 

分 析 : 首先 肯定 是 在 允许 表 中 定义 的 ,因为 不 需要 做 NAT 地 址 转换 之 类 的 事情 ,然后 
查看 SSHD 服务 ,在 22 号 端口 上 ,处 理 机 制 是 接受 ,对 于 这 个 表 , 需 要 有 一 来 一 回 两 个 规 
则 ,无 论 允许 也 好 ,拒绝 也 好 ,对 于 访问 本 机 服务 ,最 好 是 定义 在 INPUT 链 上 ,而 OUTPUT 
再 予以 定义 就 好 (会 话 的 初始 端 先 定义 ) ,所 以 添加 规则 如 下 。 

定义 进来 的 : 

iptables ~ tfilter ~ AINPUT — s172.16.0. 0/16- d172.16.100.1— ptcp—— dport22 - jACCEPT 

定义 出 去 的 ， 

iptables -tfilter - MOUTPUT- s172.16.100.1- dl72.16.0.0/16- ptcp -- dport22 - jACCEPT 


将 默认 策略 改 成 DROP， 


iptables - PINPUTDROP 
iptables - POUTPUTDROP 
iptables — PFORWARDDROP 


7. 如 何 写 规则 

Iptables 定义 规则 的 方式 比较 复杂 ,具体 如 下 。 

格式 : Iptables[-ttable]COMMANDchainCRETIRIA-jACTION 

-ttable: 三 个 filternatmangle。 

COMMAND: 定义 如 何 对 规则 进行 管理 。 

chain: 指定 接 下 来 的 规则 是 在 哪个 链 上 操作 的 , 当 定义 策略 的 时 候 , 是 可 以 省 略 的 。 
CRETIRIA: 指定 匹配 标准 。 

-ACTION: 指定 如 何 进行 处 理 。 

例如 ,不 允许 172. 16. 0. 0/24 的 进行 访问 : 


iptables - tfilter ~ AINPUT - s172.16.0.0/16- pudp—— dport53 - jDROP 

如 果 想 拒绝 得 更 彻底 , 则 命令 如 下 。 

iptables - tfilter — RINPUT1 - s172.16.0.0/16- pudp —— dport53 — jREJECT 

iptables-L-n-v 查看 定义 规则 的 详细 信息 。 

8. 状态 检测 

状态 检测 是 一 种 显 式 扩展 ,用 于 检测 会 话 之 间 的 连接 关系 ,有 了 检测 就 可 以 实现 会 话 间 
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功能 的 扩展 。 

什么 是 状态 检测 ?对 于 整个 TCP 来 讲 , 它 是 一 个 有 连接 的 协议 ,三 次 握手 中 ,第 一 次 握 
手 就 叫 NEW 连接 ,而 从 第 二 次 握手 以 后 的 ,ack 都 为 1, 这 是 正常 的 数据 传输 ,和 TCP 的 第 
二 次 .第 三 次 握手 , 叫 作 已 建立 的 连接 (ESTABLISHED)。 还 有 一 种 状态 ,比较 诡异 ,例如 ， 
SYN==1,ACK==1,RST==1, 对 于 这 种 无 法 识别 的 ,都 称 之 为 INVALID。 还 有 第 四 种 ,FTP 
这 种 古老 的 协议 拥有 的 特征 ,每 个 端口 都 是 独立 的 ,21 号 和 20 号 端口 都 是 一 去 一 回 ,它们 
之 间 是 有 关系 的 ,这 种 关系 称 为 RELATED。 

所 以 状态 一 共有 4 种: NEW .ESTABLISHED RELATEDJINVALID。 

所 以 对 于 刚才 的 练习 题 , 可 以 增加 状态 检测 。 例 如 , 只 允许 状态 为 NEW 和 
ESTABLISHED 的 进来 ,只 允许 ESTABLISHED 的 状态 出 去 ,这 就 可 以 对 比较 常见 的 反弹 
式 木 马 有 很 好 的 控制 机 制 。 

对 于 练习 题 的 扩展 : 

进来 的 拒绝 出 去 的 允许 ,进来 的 只 允许 ESTABLISHED 进来 , 出 去 只 允许 
ESTABLISHED 出 去 。 默 认 规则 都 使 用 拒绝 。 

iptables-L-n--line-number: 查看 之 前 的 规则 位 于 第 几 行 。 

改写 INPUT: 








iptables - RINPUT2 - s172. 16. 0. 0/16 - d172. 16. 100. 1 - ptcp —— dport22 - mstate —— stateNEW, 
ESTABLISHED — jACCEPT 
iptables - ROUTPUT1 — mstate —— stateESTABLISHED — jACCEPT 


此 时 如 果 想 再 放行 一 个 80 端口 的 话 , 如 何 放行 呢 ? 


iptables - AINPUT ~— d172. 16.100.1— ptcp—— dport80 - mstate —— stateNEW, ESTABLISHED— jACCEPT 
iptables ~ RINPUT1 ~ d172. 16.100.1 -~ pudp -~ dport53 ~ jACCEPT 


一 条 规则 放行 所 有 。 

例如 : 

假如 允许 自己 ping 别人 ,但 是 别人 ping 自己 ping 不 通 . 如 何 实现 ? 

分 析 : 对 于 ping 这 个 协议 ,进来 的 为 8(ping) ,出 去 的 为 0(( 响 应 )。 为 了 达到 目的 ,需要 
8 出 去 ,允许 0 进来 。 

在 出 去 的 端口 上 : 





iptables - AOUTPUT - picmp —— icmp — type8 - jACCEPT 
在 进来 的 端口 上 : 

iptables - AINPUT - picmp—— icmp - type0 — jACCEPT 

小 扩展 : 对 于 127. 0. 0. 1 比较 特殊 ,需要 明确 定义 它 。 


iptables ~ AINPUT ~ s127.0.0.1— d127.0.0.1— jACCEPT 
iptables ~ AOUTPUT - s127.0.0.1— dl27.0.0.1— jACCEPT 


9. SNAT 和 DNAT 的 实现 
于 现在 IP 地 址 十 分 紧俏 ,已 经 分 配 完 了 ,这 就 导致 必须 要 进行 地 址 转换 来 节约 仅 剩 
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的 一 点 儿 IP 资源 。 那 么 通过 Iptables 如 何 实现 NAT 的 地 址 转换 ? 

1) SNAT 基于 原 地 址 的 转换 

基于 原 地 址 的 转换 一 般 用 在 许多 内 网 用 户 通过 一 个 外 网 的 口上 网 的 时 候 ,这 时 将 内 网 
的 地 址 转换 为 一 个 外 网 的 全 ,就 可 以 实现 连接 其 他 外 网 IP 的 功能 。 

所 以 ,在 Iptables 中 就 要 定义 如 何 转换 ,定义 的 样式 如 下 。 

例如 现在 要 将 所 有 192. 168. 10. 0 网 段 的 全 在 经 过 的 时 候 全 都 转换 成 172. 16. 100. 1 
这 个 假设 出 来 的 外 网 地 址 ,命令 如 下 。 


iptables - tnat - APOSTROUTING — s192. 168. 10.0/24 - jSNAT—— to— sourcel72.16.100.1 


这 样 ,只 要 是 来 自 本 地 网 络 的 试图 通过 网 卡 访问 网 络 的 IP 地 址 ,都 会 被 统统 转换 成 
172. 16. 100. 1 这 个 IP。 

那么 ,如 果 172. 16. 100. 1 不 是 固定 的 ,怎么 办 ? 

当 使 用 联通 网 络 或 者 电信 网 络 上 网 的 时 候 , 一 般 都 会 在 每 次 开机 的 时 候 随机 生成 一 个 
外 网 的 IP, 意 思 就 是 外 网 地 址 是 动态 变换 的 。 这 时 就 要 将 外 网 地 址 换 成 MASQUERADE 
(动态 伪装 ): 它 可 以 实现 自动 寻找 到 外 网 地 址 ,而 自动 将 其 改 为 正确 的 外 网 地 址 。 所 以 ,就 
需要 如 下 设置 


iptables - tnat - APOSTROUTING — s192.168. 10. 0/24 - jMASQUERADE 


这 里 要 注意 : 地 址 伪装 并 不 适用 于 所 有 的 地 方 。 

2) DNAT 目标 地 址 转换 

对 于 目标 地 址 转换 ,数据 流向 是 从 外 向 内 的 ,外 面 的 是 客户 端 ,里 面 的 是 服务 器 端 。 

通过 目标 地 址 转换 ,可 以 让 外 面 的 了 P 通过 对 外 的 外 网 IP 来 访问 服务 器 不 同 的 服务 器 ， 
而 服务 却 放 在 内 网 服务 器 的 不 同 的 服务 器 上 。 

如 何 做 目标 地 址 转换 ? 命令 如 下 。 

iptables ~ tnat — APREROUTING - d192. 168. 10. 18 ~ ptcp -- dport80 — jDNAT —— todestination172. 

16.100.2 

目标 地 址 转换 要 做 的 是 在 到 达 网 卡 之 前 进行 转换 ,所 以 要 做 在 PREROUTING 这 个 位 
置 上 。 

10. 控制 规则 的 存放 以 及 开启 

注意 : 定义 的 所 有 内 容 , 当 重启 的 时 候 都 会 失效 ,要 想 能 够 生效 ,需要 使 用 一 个 命令 将 
它们 保存 起 来 。 

1) serviceiptablessave 命令 

保存 在 /etc/sysconfig/iptables 这 个 文件 中 。 


2) iptables 一 save 命令 





iptables - save >/etc/sysconfig/ iptables 
3) iptables 一 restore 命令 


开机 的 时 候 , 它 会 自动 加 载 /etc/sysconfig/iptabels。 
如 果 开 机 不 能 加 载 或 者 没有 加 载 ,而 想 让 一 个 自己 写 的 配置 文件 (假设 为 iptables. 2) 
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手动 生效 的 话 , 命 令 如 下 。 
iptables - restore </etc/sysconfig/ iptables.2 


运行 以 上 命令 则 完成 了 将 Iptables 中 定义 的 规则 手动 生效 。 

Iptables 是 一 个 非常 重要 的 工具 , 它 是 每 一 个 防火 墙 上 几乎 必 备 的 设置 ,也 是 在 做 大 型 
网 络 的 时 候 , 因 为 很 多 原因 而 必须 要 设置 的 。 学 好 Iptables 可 以 对 整个 网 络 的 结构 有 一 个 
比较 深刻 的 了 解 ,同时 ,还 能 够 将 内 核 空 间 中 数据 的 走向 以 及 Linux 的 安全 掌握 得 非常 透 
彻 。 在 学 习 的 时 候 , 应 尽量 结合 各 种 各 样 的 项 目 、 实 验 来 完成 ,对 加 深 Iptables 的 配置 以 及 
各 种 技巧 有 非常 大 的 帮助 。 





小 结 


本 章 介绍 操作 系统 的 安全 问题 及 其 解决 的 方法 。 本 章 以 Linux 操作 系统 为 主 介 绍 了 操 
作 系统 安全 保护 的 目标 。 操 作 系统 需要 保护 数据 的 完整 性 ,真实 性 .可 用 人 性、 保密 性 和 不 可 
抵赖 性 。 为 实现 保护 数据 的 目标 ,必须 从 操作 系统 的 安全 使 用 管理 和 安全 保证 两 个 方面 考 
处。 安全 使 用 管理 包括 登录 操作 系统 和 系统 内 部 操作 的 安全 问题 ; 安全 保证 应 提供 安全 可 
靠 的 操作 环境 ,不 应 有 后 门 和 隐患 。 最 后 详细 介绍 了 Iptables 防火 墙 的 使 用 ,可 以 对 操作 系 
统 及 其 网 络 操作 系统 的 结构 有 一 个 比较 深刻 的 了 解 ,也 能 够 将 内 核 空间 中 数据 的 走向 以 及 
Linux 的 安全 掌握 得 非常 透彻 。 
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6.1 Windows Server 2003 服务 器 防火 墙 


6.1.1 Windows Server 2003 安装 
【实验 名 称 】 
Windows Server 2003 安装 。 
【实验 设备 】 
一 台 PC ,一 张 Windows Server 2003 光盘 (或 制作 一 个 启动 U 盘 ) 。 
【实验 步骤 】 
(1) 启动 PC 并 进入 BIOS 界面 ,如 图 6-1 所 示 。 


Susten Tine: 





图 6-1 BIOS 界面 1 


(2) 按 左右 方向 键 转 至 BOOT 选项 , 按 上 下 方向 键 选中 CD-ROM Drive 之 后 按 “ 十 " 键 
调整 CD-ROM Drive 使 其 移动 到 第 一 个 位 置 , 如 图 6-2 所 示 。 

(3) 按 F10 键 保存 设置 ,如 图 6-3 所 示 。 

(4) 在 保存 确定 后 计算 机 会 重新 启动 ,之 后 跳 转 至 安装 界面 ,如 图 6-4 所 示 。 

(5) 在 跳 转 到 安装 界面 之 后 , 按 Enter 键 后 将 会 安装 Windows Server 2003, 如 图 6-5 
所 示 。 
(6) Windows 授权 协议 , 按 F8 键 同意 协议 后 Windows 安装 将 继续 ,如 图 6-6 所 示 。 
(7) 在 跳 转 至 安装 界面 后 , 按 C 键 为 Windows Server 2003 安装 创建 磁盘 分 区 ,如 
图 6-7 所 示 。 
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“Ff 





CD-ROM Drive 


-/* 
Enter 


6-2 ”BIOS 界面 2 





Setup Confirnation 





Save conf iguration changes and exit now? 


{ 豆 mo 





6-3 BIOS 保存 





Press F6 if you need to install a third party SCSI or RAID driver... 


图 6-4 Windows 安装 1 
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图 6-5 Windows 安装 2 


阅读 以 下 最 终 
.< 协 


Enter= 安 装 C= 创建 磁盘 分 区 F3= 退 出 





图 6-7 Windows 安装 4 
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一 个 分 区 输入 要 分 区 的 大 小 ,如 图 6-8 所 示 。 





Enter= 创 建 ”Esc 取消 
图 6-8 Windows 安装 5 
(9) 在 将 磁盘 分 区 划分 好 后 ,选择 系统 安装 的 分 区 并 按 Enter 键 进入 下 一 步 安 装 ,如 
图 6-9 所 示 。 





Window 


荣 0- 人 删除 磁盘 分 区 F3= 退 出 





图 6-9 Windows 安装 6 


(10) 选择 NTFS 文件 系统 格式 化 磁盘 分 区 ,如 图 6-10 所 示 








图 6-10 Windows 安装 7 
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(11) 在 进入 格式 化 界面 后 ,等 待 格式 化 ,如 图 6-11 所 示 。 











图 6-11 Windows 安装 8 


(12) 格式 化 好 后 ,安装 程序 会 自动 将 Windows 安装 文件 复制 到 计算 机 ,等 待 复制 完成 
即 可 ,如 图 6-12 所 示 。 





正在 复制 : ole32.dl1 
6-12 Windows 安装 9 


(13) 安装 程序 复制 完成 后 ,计算 机 将 重新 启动 ,然后 进入 安装 界面 ,等 
图 6-13 所 示 。 





en Server 2003 塌 只 学 最 太 妇 风 
旺 玉 多 时 > 





图 6-13 Windows 安装 10 


第 6 章 Windows 构筑 校园 网 服务 器 防火 二 


81 





(14) 在 安装 程序 正常 安装 之 后 跳出 界面 , 单 击 “ 下 一 步 ? 按 钮 ,如 图 6-14 所 示 。 





区 城 和 语言 连 项 
您 可 以 为 不 同 的 区 域 有 和 语言 自 定义 Windows. 


er 
从 知客 式 设置 征 设 置 为 中 立 (中 国 ) ,设置 位 置 为 中 国 - 


要 更 0 这 此 设置 清单 击 “ 自 十 类”。 自 定义 加 ) 





AN 让 修 便 用 多 种 久 入 万 法 和 设备 用 许多 不 同 的 语言 畏 入 
圣 认 的 文子 以 入 理 襄 和 方法 是 - 中 文 (简体 ) - 美式 村 和 条 全 布局 


要 查看 戒 更 到 当前 配置 ， 请 单 击 “详细 全 息 ”. 评 亩 信息 四) 


| 
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(15) 填写 姓名 “test”, 单 位 “test”, 然 后 单 击 “ 下 一 步 ” 按 钮 ,如 图 6-15 所 示 。 


Windows 安装 如 序 


自 定义 软件 
安 于 程序 将 使 用 您 提供 的 个 人 信息 ， 自 定义 您 的 Wiadmws 软件 
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(16) 填写 产品 密 钥 ,完成 后 单 击 “ 下 一 步 ” 按 钮 ,如 图 6-16 所 示 。 


息 的 产品 衬 钥 
从 各 产品 富生 一 标识 售 的 findovs- 


i 
清 在 下 面 镁 入 “ 批 全 许可 证 ”产品 守 角 


BE): 
For rs pe poms por 








cd) ZE 





图 6-16 Windows 安装 13 
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(17) 选择 授权 模式 , 单 击 “下 一 步 ? 按 钮 继续 安装 ,如 图 6-17 所 示 。 










区 请 这 大 着 和 使 用 的 其 可 模式 。 


他 到 用 区。 网 末 理 和 要 站] 

此 个 证 接 必须 有 目 己 的 “ 黎 忆 访问 许可 证 ”- 

个 等 设 备 或 和 用户 区 )- 
二 人 设备 或 每 人 用户 必 须 有 自己 的 “ 夫 户 渍 访 同 许可 让” 


WE re ere 








Ld RE) 


6-17 Windows 安装 14 


(18) 为 计算 机 输入 计算 机 名 称 以 及 管理 员 密 码 , 然 后 单 击 “ 下 一 步 ” 按 钮 继续 安装 ,如 
图 6-18 所 示 。 





名称 和 光 理 员 容 码 
婚 分 淹 提 供 计算 机 名称 和 各 理 员 字 码 . 


Ci BL etre Page 
计生 机 生生 人) FE 


要 EPE 
请 殷 入 管理 员 和 到。 
ranzn [ 站 
WE | 





bd TE 
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装 
(19) 选择 网 络 设 置 模 式 , 这 里 选择 “典型 设置 "之 后 单 击 “ 下 一 步 ” 按 钮 ,如 图 6-19 所 示 。 
















了 Windows 


设置 
安 奖 卫 I 扩 软件 多 评 修 迫 授 到 其 它 计 和 机 网 洛 和 Internet。 





Ee 


(4 
5 
LE 


个 自 定 义 设置 
性。 


+-$w [sv ]] 


图 6-19 Windows 安装 16 
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(20) 选择 工作 组 或 计算 机 所 在 域 , 单 击 * 下 一 步 按 钮 ,如 图 6-20 所 示 。 


1 有 相同 工作 给 名 的 一 想 计 算 机 - 域 则 是 网 络 管理 员 定义 的 一 起 
ER 月 同 工 作 日 > 
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(21) 安装 Windows 之 后 计算 机 会 再 次 重新 启动 ,再 次 进入 BIOS 到 Boot 中 将 “十 
Removable Devices” 硬 盘 启 动 设置 为 第 一 启动 项 ,如 图 6-21 所 示 。 


+*Renovable Devices 





6-21 设置 启动 项 


(22) 按 F10 键 保 存 , 如 图 6-22 所 示 。 

(23) 计算 机 重启 后 安装 完成 .如 图 6-23 所 示 。 

(24) 计算 机 启动 正常 ,然后 按照 提示 启动 进入 系统 .如 图 6-24 所 示 。 
(25) 正常 进入 系统 ,Windows Server 2003 安装 完成 ,如 图 6-25 所 示 。 
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*Removable Devices 





Setup Confirmation 





Save configuration changes and exit nou? 


[esl Nol 











图 6-22 保存 


. Windows Server 2003 


Erterprse Editon 





6-23 ”重启 


欢迎 使用 Windows 


Windows Server 2003 
¥ Ent Edition 


> WE ctrl-htpaete 开始 。 


和 





图 6-24 进入 系统 
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图 6-25 安装 完成 
6.1.2 Windows Server 2003 自 带 防火 墙 的 设置 (面向 校园 网 服务 器 ) 


在 校园 网 的 日 常 管理 与 维护 中 ,网 络 安 全 正 日 益 受 到 人 们 的 关注 。 校 园 网 服务 器 是 否 
安全 将 直接 影响 学 校 日 常 教育 教学 工作 的 正常 进行 。 为 了 提高 校园 网 的 安全 性 ,网 络 管理 
员 首 先 想到 的 就 是 配备 硬件 防火 墙 或 者 购买 软件 防火 墙 ,但 硬件 防火 墙 价格 昂贵 ,软件 防火 
墙 也 价格 不 菲 , 这 对 教学 经 费 比较 紧张 的 广大 中 小 学 来 说 是 一 个 沉重 的 负担 ,因此 可 以 使 用 
Windows 2003 提供 的 防火 墙 功能 为 校园 网 服务 器 构筑 安全 防线 。 

1. Windows 2003 防火 墙 功能 介绍 

Windows 2003 提供 的 防火 墙 称 为 Internet 连接 防火 墙 ,通过 允许 安全 的 网 络 通信 通过 
防火 墙 进入 网 络 , 同 时 拒绝 不 安全 的 通信 进入 ,使 网 络 免 受 外 来 威胁 。Internet 连接 防火 墙 只 
包含 在 Windows Server 2003 Standard Edition” 配 开 5 于 3 于 时 于 玫 下 x 
和 32 位 版 本 的 Windows Server 2003 Enterprise 
Edition 中 。 

2，Internet 连接 防火 墙 的 设置 

在 Windows 2003 服务 器 上 ,对 直接 连接 到 
Internet 的 计算 机 启用 防火 墙 功能 ,支持 网 络 适 
配器 、DSL 适配器 或 者 Wifi 等 连接 到 Internet。 

1) 启动 /停止 防火 墙 

(1) 打开 “网 络 连 接 ” 窗 口 . 右 击 要 保护 的 连 
接 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,弹出 
“本 地 连接 属性 ”对 话 框 。 

(2) 打开 “高 级 ”选项 卡 . 如 图 6-26 所 示 。 

如 果 要 启用 Internet 连接 防火 墙 ,请 选中 
“通过 限制 或 阻止 来 自 Internet 的 对 此 计算 机 的 图 6-26 “本 地 连接 属性 ”对话 框 























86 防火 墙 技术 及 应 用 实践 教程 





访问 来 保护 我 的 计算 机 和 网 络 ” 复 选 框 ; 如 果 要 禁用 Internet 连接 防火 墙 ,请 取消 选中 该 复 
选 框 。 

2) 防火 墙 服务 设置 

Windows 2003 Internet 连接 防火 墙 能 够 管理 服务 端口 ,例如 HTTP 的 80 端口 FTP 
的 21 端口 等 ,只 要 系统 提供 了 这 些 服 务 ,Internet 连接 防火 墙 就 可 以 监视 并 管理 这 些 端口 。 

(1) 标准 服务 的 设置 。 以 Windows 2003 
服务 器 提供 的 标准 Web 服务 为 例 ( 默 认 端 口 
80) ,操作 步骤 如 下 : 在 如 图 6-26 所 示 对 话 框 
中 单 击 “ 设 置 ?按钮 ,弹出 如 图 6-27 所 示 的 “高 
级 设置 ?对 话 框 ; 在 “高 级 设置 ”对话 框 “服务 ” 
选项 卡 中 ,选中 “Web 服务 器 (HTTP)” 复 选 
项 , 单 击 “ 确 定 ” 按 钮 。 设 置 好 后 ,网 络 用 户 将 无 
法 访问 除 Web 服务 外 本 服务 器 所 提供 的 其 他 
网 络 服务 。 

注意 ; 可 以 根据 Windows 2003 服务 器 所 
提供 的 服务 进行 选择 ,可 以 多 选 。 常 用 标准 服 
务 系统 已 经 预 置 在 系统 中 ,只 需 选 中 相应 选项 
就 可 以 了 。 如 果 服 务 器 还 提供 非 标 准 服务 , 那 
就 需要 管理 员 手 动 添加 了 。 

(2) 非 标 准 服务 的 设置 。 以 通过 8000 端 
口 开放 一 非 标准 的 Web 服务 为 例 。 在 如 图 6-27 所 示 的 “高 级 设置 "对话 框 中 , 单 击 “ 添 加 ” 
按钮 ,弹出 “服务 设置 "对 话 框 ,在 此 对 话 框 中 ,输入 服务 描述 、IP 地 址 、 服 务 所 使 用 的 端口 
号 ,并 选择 所 使 用 的 协议 (Web 服务 使 用 TCP,DNS 查询 使 用 UDP) ,最 后 单 击 “ 确 定 ”按钮 。 
设置 完成 后 ,网 络 用 户 可 以 通过 8000 端口 访问 相应 的 服务 ,而 对 没有 经 过 授权 的 TCP、 
UDP 端口 的 访问 均 被 隔离 。 

3) 防火 墙 安全 日 志 设置 

在 如 图 6-27 所 示 的 “高 级 设置 ”对话 框 中 ,打开 “安全 日 志 ” 选 项 卡 , 在 “记录 选项 ”选项 
区 域 中 选择 要 记录 的 项 目 , 防 火 墙 将 记录 相应 的 数据 。 日 志文 件 默 认 路 径 为 C:\Windows\ 
Pfirewall. log, 用 记事 本 可 以 打开 。 所 生成 的 安全 日 志 使 用 的 格式 为 W3C 扩展 日 志文 件 格 
式 ,可 以 用 常用 的 日 志 分 析 工 具 进 行 查看 分 析 。 

注意 : 建立 安全 日 志 是 非常 必要 的 ,在 服务 器 安全 受到 威胁 时 ,日 志 可 以 提供 可 靠 的 
证 据 。 

3， Internet 连接 防火 墙 应 用 思考 

Internet 连接 防火 墙 可 以 有 效 地 拦截 对 Windows 2003 服务 器 的 非法 入 侵 , 防 止 非法 远 
程 主机 对 服务 器 的 扫描 ,提高 Windows 2003 服务 器 的 安全 性 。 同 时 ,也 可 以 有 效 拦 截 利 用 
操作 系统 漏洞 进行 端口 攻击 的 病毒 ,如 冲击 波 等 蠕虫 病毒 。 如 果 在 用 Windows 2003 构造 
的 虚拟 路 由 器 上 启用 此 防火 墙 功 能 ,能 够 对 整个 内 部 网 络 起 到 很 好 的 保护 作用 。 

ICF (Internet Connection Firewall,Internet 连接 防火 墙 ) 作 为 Windows Server 2003 系 











图 6-27 “高 级 设置 "对 话 框 
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统 自 带 的 防火 墙 工 具 ,使 用 户 既 无 须 购买 价格 昂贵 的 硬件 防火 墙 ,也 无 须 配 置 复杂 的 专业 防 
火 墙 软件 。 这 对 于 网 络 新 手 、 家 庭 用 户 而 言 无 疑 是 非常 合适 的 。 

1) 启用 ICF 

默认 情况 下 ,ICF 并 没有 开启 ,需要 手动 启用 它 。 例 如 ,要 启用 “本 地 连接 ”的 ICF ,操作 
步骤 如 下 。 

(1) 右 击 “网 上 邻居 ?图 标 ,在 弹出 的 快捷 菜单 中 选择 属性 命令 ,在 打开 的 “网 络 连接 ” 
窗口 中 双击 “本 地 连接 ”图 标 ,弹出 “本 地 连接 状态 ”对 话 框 , 单 击 “ 属 性 ”按钮 ,弹出 “本 地 连接 

(2) 打开 “高 级 "选项 卡 ,选中 “通过 限制 或 阻止 来 自 Internet 的 对 此 计算 机 的 访问 来 保 

护 我 的 计算 机 和 网 络 " 复 选 框 , 单 击 “ 确 定 ” 按 钮 ,这 样 即 可 开启 ICF 。 

2) 对 ICF 进行 安全 设置 

启用 ICF 后 如 果 不 进 行 任何 设置 ,那么 该 服务 器 的 所 有 端口 将 被 禁用 ,相应 的 服务 也 
将 被 停止 。 因 此 ,需要 对 ICF 进行 必要 的 设置 以 符合 实际 需要 。 

(1) 设置 常规 服务 。 这 里 所 说 的 常规 服务 是 指 常常 用 到 的 WWW、FTP 等 服务 。ICF 
在 默认 情况 下 提供 了 几 种 常用 服务 可 设置 。 单 击 “ 高 级 ”选项 卡 中 的 “设置 ”按钮 ,弹出 “高 级 
设置 "对 话 框 。 在 “服务 ”选项 卡 中 ,提供 了 常用 “服务 ”的 列表 ,如 果 服 务 器 需要 提供 FTP 服 
务 , 则 只 需 勾 选 “FTP 服务 器 ?选项 (图 6-28) ,在 打开 的 “服务 设置 ?对 话 框 中 保持 默认 的 计 
算 机 名 即 可 。 

(2) 设置 非常 规 服 务 。 为 了 防止 用 户 的 不 良 访问 ,常常 需要 将 一 些 常 规 服务 的 默认 端 
口 屏 蔽 掉 ,而 采用 一 些 非 默认 端口 提供 常规 服务 。 例 如 ,可 以 使 用 6000 端口 提供 WWW 服 
务 。 单 击 图 6-28 中 的 “添加 ?按钮 ,打开 “服务 设置 ?对 话 框 。 在 该 对 话 框 中 添加 相应 信息 ， 
注意 一 定 要 在 外 部 和 内 部 端口 号 设置 “6000”( 图 6-29) ,然后 单 击 “确定 ”按钮 。 这 时 即 可 在 
服务 列表 中 看 到 刚刚 添加 的 服务 。 





























图 6-28 “高 级 设置 ”对 话 框 6-29 ”使 用 6000 端口 提供 WWW 服务 
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(3) ICMP 设置 。ICMP 即 Internet 控制 信息 协议 ,最 常用 的 ping 命令 就 是 基于 ICMP 
的 。 上 默认 情况 下 ,ICF 禁用 了 应 用 该 协议 的 信息 请 求 ,例如 不 允许 ping 本 机 。 如 果 由 于 特 
殊 需 要 而 想 ping 本 机 , 则 需要 在 如 图 6-28 所 示 的 对 话 框 中 单 击 ICMP 标签 ,在 打开 的 选项 
卡 中 选中 “允许 传人 响应 请 求 " 复 选 框 。 

(4) 设置 安全 日 志 。 建 立 安 全 日 志 可 以 使 服务 器 在 受到 恶意 攻击 后 保留 可 靠 的 证 据 ， 
ICF 就 具备 这 方面 的 功能 。 在 如 图 6-28 所 示 的 对 话 框 中 单 击 “ 安 全 日 志 ” 标 签 ,在 "安全 日 
志 ” 选 项 卡 中 选中 “记录 被 丢弃 的 数据 包 ” 和 “记录 成 功 的 连接 ”两 个 复 选 框 。 这 样 就 可 以 通 
过 查看 相应 目录 中 保存 的 日 志文 件 了 解 来 访 者 的 信息 。 

ICF 可 以 有 效 拦截 某 些 用 户 对 服务 器 的 扫描 和 攻击 ,并 且 可 以 有 效 防范 利用 系统 漏洞 
进行 端口 攻击 的 蠕虫 病毒 (如 冲击 波 等 )。 无 论 对 于 个 人 计算 机 还 是 对 于 网 络 服务 器 , 它 都 
可 以 起 到 很 好 的 保护 作用 。 


























6.2 Windows 7 防火 墙 的 高 级 配置 


6.2.1 Windows 7 防火 墙 专 用 网 络 配 置 

【实验 名 称 】 

Windows 7 防火 墙 专用 网 络 配置 。 

【实验 日 的 】 

(1) 通过 对 出 站 规则 的 配置 ,用 户 在 专用 网 络 线 IE 浏览 器 能 通过 防火 墙 访问 外 网 ,其 
他 不 允许 通过 专用 防火 墙 的 程序 则 不 能 访问 外 网 。 

(2) 通过 对 人 站 规则 配置 ,使 计算 机 B 能 够 通过 防火 墙 ping 通 计 算 机 A。 

【实验 设备 】 

有 两 台 装 有 Windows 7 操作 系统 连接 网 络 的 PC, 一 台 作 为 Windows 7 防火 墙 配置 计 
算 机 A, 另 一 台 作 为 测试 计算 机 B。 

【实验 原理 】 

这 里 的 专用 网 络 指 的 是 家 里 或 者 单位 自用 的 网 络 , 通 俗 地 说 就 是 认识 的 人 在 一 起 使 用 
同一 个 网 络 。 

【实验 任务 1】 


设置 网 络 配置 ,允许 IE 浏览 器 上 网 。 

【 实验 步骤 】 

(1) 打开 “控制 面板 ”>“ 系 统 和 安全 ”一 “Windows 防火 墙 ”", 如 图 6-30 所 示 。 

(2) 在 窗口 的 左边 单 击 “ 打 开 或 关闭 Windows 防火 墙 ?来 设置 防火 墙 .这 里 启动 ,选择 
“Windows 防火 墙 阻 止 新 程序 通知 我 " 复 选 框 ,设置 专 有 网 络 防火 墙 ,如 图 6-31 所 示 。 

(3) 启动 Windows 防火 墙 之 后 . 回 到 Windows 防火 墙 界面 会 看 到 ,如 图 6-32 所 示 , 专 
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内 ， 控 韦 面 二 ， 圣 统 和 安全 ， Windows 防火 培 


文件 (月 编 坊 (E) ”查看 V) 工具 (T) 帮助 (H) 

















2 使 用 Windows 防火 墙 来 帮助 保护 您 的 计算 机 
人 许 得 序 或 功能 通过 Windows 。。 Windows 防火 培 有 助 于 芒 止 等 客 吏 天 章 软 件 通过 Internet 或 网 沿 访 问 你 的 计算 机 
防火 壕 如 何 宁 助 保护 计算 机 ? 
加 证 作 天 证 
加 打开 或 关闭 Windows 防火 培 
CE 更 5 防火 二 设 亚 
四 Ri 得 Windows 防火 境 示 使 用 推荐 的 设置 率 保 护 计算 Er 
对 网 络 进行 绛 玲 角 答 
推荐 的 设置 有 吉 些 ? 
图 加 TIS) 已 连接 加 
9 对 目 信任 的 用 户 和 没 负 所 在 的 家 话 驶 工作 网 闪 
Windows 防火 志 关 术 : A 
传 入 连接: 胃 目 所 有 与 未 在 区 许 程序 列表 中 的 程序 的 连接 
活动 的 家 度 或 工作 (专用 ) 网 络 : Network 
通 和 大 志 : Windows 防火 寺 阻 止 新 得 序 时 通知 和 
国 四 人 msw) 忆 连 持 四 
公共 场所 (人 9 和 机 场 可 腾 时 店 ) 中 的 网 和 
Windows 防火 霹 杖 态 : 关闭 
与 请 台 网 传 入 连 所 阻止 所 有 与 示 在 光 许 程序 列表 中 的 程序 的 连接 
损人 F 中 心 活动 的 公用 网 培 : 同 RBI 的 网 和 阁 
网 洛 和 共享 中 心 天 0 状态 : Windows 防火 过 胆 止 新 程序 时 通知 我 
图 6-30 ”Windows 防火 墙 
自 定 义 每 种 类 型 的 网 络 的 设置 
怎 可 以 修改 您 所 使 用 的 每 种 类 型 的 网 络 位 置 的 防火 增设 置 . 
什么 是 网 络 位 置 ? 
家 许 或 工作 (专用 网 络 位 置 设置 


加 图 启用 Windows 防火 培 
加 阻止 所 有 传 入 连接 , 包括 位 于 允许 程序 列表 中 的 程序 
团 Windows 防火 寺 阻 止 新 得 序 时 通知 我 
[x) @ 关闭 Windows 防火 培 ( 不 推荐 ) 
公用 网 络 位 置 设置 
日 启用 Windows 防火 后 
丫 蛆 止 所 有 传 入 连接 ,包括 位 于 允许 程序 列表 中 的 程序 
回 windows 防火 二 阻止 新 程序 时 通知 我 


[x) 图 关闭 Windows 防火 培 (不 推荐 ) 








6-31 防火墙 
有 防火 墙 已 经 被 启动 。 

(4) 在 “Windows 防火 墙 ”界面 中 的 左 侧 , 单 击 “ 高 级 设置 ”, 出 现 “ 高 级 安全 Windows 防 
火 墙 ”界面 ,如 图 6-33 所 示 。 
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围 多 二 es 工人 F( 且 RS(O) 





人 J0 道 且 售 任 的 用 户 和 设备 所 在 的 家 庭 或 工作 网 络 


Windows 防火 培 枯 术 : 启用 























全 Windov 


迄 高 级 支 全 Windows 防火 墙 为 Winaews 计算 机 提供 网 络 安全 。 





Wt 

域 配置 文件 

网 indors 防火 墙 已 启用 。 

晤 阻止 与 炽 风 不 匹 B89 入 站 连接 。 
加 人 f 许 与 炽 风 不 区 本 3 出 让 连接 。 
专用 配置 文件 是 活动 的 

网 Yinamws 防火 墙 已 启用 。 

S 阻止 与 规 MI 不 区 BR 的 入 站 连接 。 
加 区 许 与 炽 刚 不 匹配 8 出 让 这 接 。 
公用 配置 文件 

同 Winaors 防火 墙 已 关闭 。 

图 inaors 防火 培 属 性 








入 门 
计算 机 之 间 的 身份 验证 通信 








A 全 性 揭 [I 指 定 储 用 Tnt ernet 协 这 安全 性 ITPSer13 计 笠 相 之 问 和 “ 
和 上 








图 6-33 高 级 设置 1 
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(5) 单 击 Windows 防火 墙 属性 ,如 图 6-34 所 示 。 


























设置 
固 扩 Windows 防火 培 行 为 的 





日 志 
指定 用 于 狠 难 解 知 的 日 志 设 置 * 





























6-34 ”高 级 设置 2 


(6) 打开 “专用 配置 文件 ”选项 卡 ,将 “出 站 连接 ”设置 为 “阻止 ”, 单 击 “ 确 定 ” 按 钮 ,如 
图 6-35 所 示 。 




















[可 要 文件 | 专用 也 加 文 件 | 公用 配置 文 件 | TYSee 设置 | 
指定 将 计算 机 连接 到 专用 网 络 位 置 时 的 行为 * 


失态 
Ed 防火 墙 杖 态 中): 
入 站 连 摘 避 ) 
出 站 连 按 吕 ) 
爱 保 护 和 站 络 连接 


全 min 防火 博 行 为 的 
困 由 ndows 防 ) 


















































图 6-35 专用 配置 文件 
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(7) 打开 浏览 器 进行 测试 ,可 以 看 到 下 浏览 器 不 能 正常 访问 网 络 , 如 图 6-36 所 示 。 























久 Internet Explorer 无 法 显示 该 网 页 


您 可 以 尝试 以 下 操作 : 








| 完成 全 Internet | 保护 模式 : 启用 而 有 各 1006 > 
图 6-36 ”测试 
(8) 在 “高 级 安全 Windows 防火 墙 窗 口 的 左 侧 功能 栏 中 单 击 * 出 站 规则 ”如 图 6-37 








组 < 
BranchCache - 对 等 机 发 现 
才 BranchCache 内 容 检索 (HTTP-Out) BranchCache - 内 容 检索 (.… 
才 Brandhcache 托管 闫 存 慑 务 器 (HTTP-O.。 BranchCache - 托管 沽 下 服 .. 
才 BranchCache 托管 组 存放 广 污 (HTTP-O_。 BranchCache - 托管 组 存 育 - 
重 iscsI 车 srcp-oub iSCSI 服务 
iscsi ES(Tcp-om iSCSI 服务 
@ Media Center Extender - qWave (TCP... Media Center Extender 
@ Media Center Edender - qWave (UD.. Media Center Extender 
@ Media Center Extender - RTSP (TCP-.. Media Center Extender 
@ Media Center Extender - SSDP (UDP-.. Media Center Extender 
@ Media Center Edender - UPnP (TCP-.. Media Center Extender 
@ Media Center Extender - WMDRM-N.. Media Center Extender 
@ Media Center Edender - 荫 务 (TCP-O.. Media Center Extender 
图 Media Center Extender - 媒体 流 (TCP-.。 Media Center Extender 
才 Media Center Extender - 媒体 沪 (UDP-.. Media Center Extender 
因 Media Center Edender - 设备 配置 fC-，Media Center Extender 
@ Media Center Extender - 设备 验 E(TC.. Media Center Extender 
Wend Mananement Inctnimentat Windmwe i 

















图 6-37 出 站 规则 
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(9) 单 击 “ 新 建 规则 ”, 添 加 规则 ,选择 “ 自 定义 ”规则 ,如 图 6-38 所 示 , 然 后 单 击 “下 一 
步 " 按 钮 。 


规则 类 型 
选择 要 他 汗 有 P 方 火 墙 规则 类 型 


个 程序 下 ) 
控制 


。 


© 山口 @) 
控制 TCF 或 WP 端口 连接 的 规则 。 

© 定义 ©: 
[Branchceche - 对 等 机 发 现 (使 用 SD) 
控制 是 adovs 体验 功能 连接 的 规则 = 


加 自 定义 C) 
自 定义 规则 。 








《上 - 步 @) | Gemsed) 





图 6-38 新建 规则 1 
(10) 选择 “此 程序 路 径 ”, 如 图 6-39 所 示 。 


程序 
指定 此 规则 ERA 程序 的 完整 程序 路 径 和 避 执 行程 序 名 称 。 


该 规则 应 用 于 所 有 程序 还 是 特定 程序 ? 


全 所 有 程序 以 ) 
规则 应 用 于 与 其 他 规则 属性 相 匹配 的 计算 机 上 的 所 有 连接 。 


回 此 程序 路 径 (I)- 
1 


示例 : :path\progr am ， exe 
Progran 了 ilesgvbrowser\browser exe 











图 6-39 新 建 规则 2 
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(11) 浏览 程序 所 在 位 置 ,这 里 选择 下 浏览 器 ,如 图 6-40 所 示 。 


二 -~ @ 





龟 作用 域 





修改 日 期 关 


2011/4/12 2245 文件 突 
2010/11/21 11:31 文件 夫 
2011/4/12 22:45 
2010/11/21 11:25 
2010/11/21 11:25 


2009/7/14 9:14 
2010/11/21 11:25 








图 6-40 新 建 规则 3 


(12) 选择 好 程序 路 径 之 后 ,如 图 6-41 所 示 , 单 击 “下 一 步 ? 按 钮 。 








该 规 由 应 用 于 所 有 程序 还 是 特定 程序 ? 


局 所 有 程序 4) 
规则 应 用 于 与 其 他 规则 属性 相 匹 配 的 计算 机 上 的 所 有 连接 。 


加 此 程序 路 径 ID: 
NProgranFiles% (x86)\Internet Explorer\iexplore. exe CS ] 


示例 : cr Apath\progran exe 
WProgr mFilesX\browser\bronser. exe 








服务 [re | 
指定 应 用 该 规 由 服务。 
了 部 模 证 程序 的 详细 信息 

[区 上 = 步 m [下 = 步 om > ] [二 -取消 一 


图 6-41 新 建 规则 4 
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(13) 在 “协议 和 端口 "的 步骤 中 ,可 根据 具体 的 实验 目标 来 选择 ,可 以 选择 需要 的 协议 
类 型 和 所 有 端口 .如 图 6-42 所 示 。 

















e 操作 WDD: 所 有 满口 ~ 

二 配置 文件 

日 名 称 示例 : 50、443、5000-5010 
运程 满口 四 所 有 庙 口 学 


示例 ; 90、443、5000-5010 
于 控 册 和 协议 Qom) 设 [EX©. |] 





四 ETHIE | 


图 6-42 协议 和 端口 


(14) 在 “作用 域 " 的 步骤 中 ,指定 要 应 用 此 规则 的 本 地 和 远程 IP 地 址 。 也 可 以 根据 不 
同 的 需求 来 制定 ,选择 “任何 IP 地 址 ”, 如 图 6-43 所 示 。 





添加 以 ) 
编辑 全) 
[aD 














图 任何 苹 地 址 0) 
© TH I 地 直 00: 
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(15) 在 “操作 ”的 步骤 中 ,在 前 面 阻止 了 所 有 的 通过 防火 墙 的 网 络 , 在 这 里 是 要 让 I 下 浏 
览 器 通过 防火 墙 访问 外 网 ,所 以 选择 * 人 允许 连接 ”, 如 图 6-44 所 示 。 


连接 行 合 指定 条 件 时 应 该 进行 什么 操作 ? 
加 


允许 连接 @) 
这 包括 使 用 王 see 保护 以 及 未 使 用 Isss 保护 的 连接 * 


司 阻止 连接 人) 











图 6-44 操作 


(16) 在 “配置 文件 ”的 步骤 中 ,选择 所 作用 的 位 置 , 因 为 这 个 规则 是 要 用 于 专用 网 络 ,所 
以 选择 “专用 ”网 络 ,如 图 6-45 所 示 。 





何 时 应 用 该 规 刚 ? 
日 域 m) 
证 
园 专用 @) 
计算 机 连接 到 专用 网 络 位 置 时 应 用 * 


回 公用 GD 
计算 机 连接 到 公用 网 络 位 置 时 应 用 。 


ET | 





图 6-45 配置 文件 
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(17) 为 添加 的 规则 填写 一 个 名 称 , 如 图 6-46 所 示 。 










名 称 胃 
允许 IE 出 站 | 
据 述 呵 选 ) 四) 














ET 
图 6-46 名 称 
(18) 测试 正 是否 可 以 浏览 网 页 ,如 图 6-47 所 示 , 会 看 到 正 通过 了 专用 网 络 连 接 到 了 网 站 。 


= x 


IN 

人 -szlxlmxe 2 -| 
六 收 ma | 总 关于 Wi it ~ 

加 MSN 中 放 网 ;时尚 生活 白字 门户; (MSN 食 方 下 载 ) | 全 ~ 图- 口 御 ”WD)” 安 2 ”IRIO)， 旧 - 











舍 设 为 首页 。 许 户 端 。 ”MSN 点 而 主题 下 载 IE11 官 方 下 载 


[时尚 生活 白领 门户 


msn me 


赚 性 不 给 宅 要 上 让 最 ”会 去 反 际 覆 非 3 年 折光 
常用 网 站 微软 官方 杀毒 (免费 outlook 邮箱 ”最 新 主题 


资讯 军事 娱乐 体育 汽车 试 驾 汽车 大 全 文娱 电影 
理财 银行 博览 深度 房产 新 房 家 局 装修 历史 财富 
保险 基金 黄 全 商业 ”数码 科技 Win8 App 图 汇 潮流 











图 6-47 测试 


【实验 任务 2】 
设置 防火 墙 规 则 ,不 能 ping 通 .提示 “请 求 超时 ”。 
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【实验 步骤 】 
(1) 对 “入 站 规则 ”进行 设置 ,如 图 6-48 所 示 , 先 查看 "入 站 连接 ”是否 设置 为 "阻止 ”。 
































图 6-48 入 站 规则 
(2) 关闭 Windows 防火 墙 , 如 图 6-49 所 示 。 



































天 -Iolarewme 7| 
四 - 
使 用 Windows 防火 墙 来 帮助 保护 您 的 计算 机 
Windows 防火 培 有 了 助 于 防止 黑 宫 或 和 全 从 件 肖 过 Internet 或 网 络 访问 抱 的 计算 机 - 
防火 志 如 何 本 助 保护 计划 机 ? 
什么 是 网 将 匀 得? 
更 新 防火 培 认 加 
Windows 防火 二 未 使 用 准 基 的 设置 宋 保 护 计 
Ee 
推 和 的 设置 有 二 7 
围 多 eI) 已 和 
I 
Windows 隐居 本- 和 
忧 入 连 线 : 明 止 所 有 与 未 在 允许 程序 列表 中 的 程 反 的 连接 
传 由 连接 : 阻止 Windows 防火 过 规则 不 允许 的 连接 
活动 的 家 庭 或 工作 (专用 ) 网 络 : 本 ms 2 
通知 枯 术 : Windows 
和 解 PC 问 是 3 伴生 要 消 目 
总 共 4 生 3 
图 6-49 关闭 


(3) 在 命令 行 输 入 “ipconfig/all” ,查看 本 机 的 IP 地 址 ,如 图 6-50 所 示 。 
(4) 用 计算 机 B 进行 ping 测试 ,发 现 能 够 ping 通 计算 机 A, 如 图 6-51 所 示 。 
(5) 打开 Windows 专用 防火 墙 , 如 图 6-52 所 示 。 
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晤 





: IntelCR) PRO/1888 MT Netuork Connection 


5 
: 192.168.1.113¢ 首 选 > 
: 255.255.255.8 
: 2814 年 9 21 18:28:33 
- : 2914 年 9 月 27 日 22:19:36 
: 192.168.1.1 
: 192.168.1.1 
DHCPu6 IRID : 234884137 
DHCPv6 客户 端 DUID : B90-81-80-91-18-BG-33-11-86-8C-29-48-2D-82 


: 192.168.1.1 
0 





图 6-50 命令 行 输入 





:Msers\sky>ping 192.168.1.113 中 


在 Ping 192.168.1.113 具有 32 字 节 | 人 


Bl=ins TTL=128 


自 192.168.1.113 四 守节 -32 由 
192.168.1.113 节 =32 Bl¢ims TITL=128 
192.168.1.113 外 : 李 忆 -32 上 加 ctms TTL-128 


192.168.1.113 的 回复 : 字 节 =32 


92.168.1.113 的 Ping 统计 
二 证 给 2 0 


=- pe 


TDH 


村 | 国 <tms TTL=128 


图 6-51 测试 


使 用 Windows 防火 墙 来 帮助 保护 您 的 计算 机 


Windows 防火 墙 有 助 于 防止 票 客 或 悉 章 软 件 通过 Internet 或 网 络 访问 您 的 计算 机 
防火 境 如 何 帮助 保护 计算 机 ? 
什么 是 网 络 位 置 ? 





Windows 防火 培 未 使 用 推荐 的 设置 来 保护 计 
算 . 


推荐 的 设置 有 哪些 ? 








网 启 家 许 或 工作 (专用 ) 网 络 (0) 




















6-52 打开 Windows 专用 防火 墙 
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(6) 再 次 用 计算 机 B 进行 ping 测试 ,计算 机 A 会 出 现 提示 “请 求 超时 ”, 如 图 6-53 所 
示 , 这 表明 防火 墙 拒 绝 ping 通过 。 







:Msers\sky>ping 192.168.1.113 


和 an 192.168.1.113 具有 32 字 节 的 数据 : 
上} 小 
lek 
上 


92.168.1. 113 的 Ping 
数据 包 


= 已 发 送 = 4 9， 丢 失 = 4 (18Bx 丢失 >， 





图 6-53 测试 
【实验 任务 3】 
配置 “ 自 定义 ?规则 ,使 协议 ICMP 通过 防火 墙 。 
【实验 步骤 】 


(1) 配置 “ 自 定义 ”入 站 规则 ,使 协议 ICMP 能 够 通过 防火 墙 ,如 图 6-54 所 示 ,配置 自 定 
义 规则 。 











规则 类 型 
选择 要 创建 的 防火 增 规 由 | 类型 
步骤 : 
和 ml 类 型 Hs 
ee 日 程序 @) 
生 协议 和 应 品 控制 程序 连接 的 规则 。 
自 作用 域 已 半 Dow) 
操作 控制 TC 或 DP 庙 口 连接 的 规则 。 
四 配置 文件 站 预定 外 ); 
名称 [BranchCache - 对 等 机 发 现 (使 用 WSD) > 
控制 Yindows 体验 功能 连接 的 规则 。 
加 自 定义 C) 
自 定义 规则 。 
了 了解 直 类 弄 和 ji 细 信 息 
《上 =- 步 四 ] 甘 = 步 吕 境 
6-54 ” 自 定 义 


(2) 选择 “所 有 程序 ”, 规 则 应 用 于 与 其 他 规则 属性 相 匹 配 的 计算 机 上 的 所 有 连接 ,如 
图 6-55 所 示 。 
(3) 选择 ICMPv4 协议 类 型 ,端口 选择 “所 有 端口 ”, 如 图 6-56 所 示 。 
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规则 应 用 于 与 其 他 规则 属性 相 匹 配 的 计算 机 上 的 所 有 连接 。 

日 此 程序 路 径 (7) : 
[ | Wm 
示例 : :ApathVprogram exe 








WProgr anFiles%\browser\browser exe 


2 EBD 





图 6-55 程序 





协议 和 端口 

指定 此 规 风 应 用 于 的 协议 和 端口 * 
步 邓 : 

和 规则 类 型 

程序 

协议 和 端口 

作用 域 

操作 本 地 消 口 中 ; 所 有 端口 ~ 
配置 文件 


和 名称 示例 : 80、443、5000-5010 
远程 端口 四) : 所 有 应 口 = 

















示例 ;60、443、5000-5010 
oe 











区 上 = 步 四 ] [下 = 步 中 > CM | 


6-56 协议 和 端口 
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(4) 选择 将 此 规则 应 用 于 “任何 IP 地 址 ”实际 应 用 中 可 根据 具体 IP 来 设 定 ,一般 允许 
访问 规则 以 最 小 权限 为 准 ), 如 图 6-57 所 示 。 





















































作用 域 
指定 要 应 用 此 规则 的 本 地 和 运程 IP 地 址 。 
步 驮 : 
和 规 mW 类 型 
包 程序 此 规则 应 用 于 哪些 本 地 IF 地址? 
网 图 任何 I 地址) 
“ FE © 下列 王 地 直 D， 
水 0 A) 
本 
本本 文件 编辑 下 ) 
。 名 称 删除 组) 
自 定义 应 用 此 规 N 的 接口 类 型 : [站 定义 WW.. ] 
此 规则 应 用 于 哪些 远程 IF 地 址 ? 
图 任何 匡 地 址 QD) 
© 下 列 了 地址 Wp; 
0 WD) 
编辑 并 
删除 名 ) 
了 部 有 关 指 定 节 国 的 i 泣 猎 信 息 ~ 
oT | ER 
图 6-57 作用 域 


(5) 连接 符合 指定 条 件 时 进行 的 操作 ,选择 “允许 连接 ”, 如 图 6-58 所 示 。 








操作 
指证 在 连接 与 规 风 中 指定 的 条 件 相 下 配 时 要 执行 的 操作 。 
步 台 : 
和民 型 连接 符合 措 定 条 件 时 应 该 进行 什么 操作 
全 和 光 加 允许 连接 0) 
协议 和 消 吕 这 也 括 使 用 IPsee 保护 以 及 未 使 用 Tsee 保护 的 连接 。 
作用 域 日 只 允许 安 全 连接 (C) 
操作 = 。 使 用 芋 see 属性 中 的 设置 以 及 连接 安 
。 配置 文件 
人 名 称 自 定义 区 ) 
日 阻止 连接 0 
了 历 昌 人 8 详细 信息 





图 6-58 操作 
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(6) 这 里 只 做 专用 网 络 的 实验 ,选择 应 用 该 规则 为 “专用 ”, 如 图 6-59 所 示 。 


何 时 应 用 该 规则 


回 域 @) 
计算 机 连接 到 其 企业 域 时 应 用 。 
国 专 用 到) 
计算 机 连接 到 专用 网 络 位 置 时 应 用 。 





回 公用 QD 
计算 机 连接 到 公用 网 络 位 置 时 应 用 。 


Kr-$w | [CF-Sw >] [A] 











图 6-59 配置 文件 
(7) 为 新 建 的 规则 命名 ,如 图 6-60 所 示 。 











音 协议 和 消 口 名 称 中 : 
作用 虐 ea 

二 损人 指 述 回 选 ) 0): 
生 要 置 文件 

和 名 称 





Ey TE 





104 


防火 墙 技术 及 应 用 实践 教程 





(8) 在 “人 站 规则 ?中 可 以 看 到 刚刚 加 入 的 允许 ICMP 通过 的 规则 ,如 图 6-61 所 示 。 





氢 作 (A) ”查看 (V) 帮助 (H) 











中 上访 国 IE1B 同 
只 本 地 计算 机 上 的 高 级 安全 Win 各 作 
楼 入 站 规则 名 称 组 i 加 
a CFT | 
县 人 图 BranchCache 对 等 机 发 现 (WSD-In) BranchCache - 对 等 机 发 现 . ”|| 可 按 配 轩 文 件 和 迁 》 
因 BranchCache 内 容 愉 雪 (HTTP-In) BranchCache - 内 容 检索 (- 了 了 按 状态 息 迁 » 
OranchCache 托管 舱 存 服务 露 (HTTP-In) ”BranchCache - 托管 泌 存 服 .. 了 了 拱 8 仿 迁 » 
重 iscsI 服务 (TCP-In) iscsr 服务 
iscs! Bscp-Iin) iscsr 服务 音 看 
@ Media Center Edender - HTTP 沪 TC- Media Center Extender 回 居 i 
@ Media Center Extender - qWave (TCP... Media Center Extender 时 导出 列表 -… 
@ Media Center Extender - qWave (UD.. Media Center Extender 国 大 号 
@ Media Center Ectender - RTSP (TCP-In) Media Center Extender 
@ Media Center Edender - SSDP (UDP-.. Media Center Extender 
@ Media Center Edender - WMDRM-N.. Media Center Extender 例 ”村 用 规则 
@ Media Center Edender - XSP (TCP-In) Media Center Extender 者 更 切 
图 Media center Extender - 媒体 流 [TCP--，Media Center Extender 梧 复制 
@ Neticogon 最 S(Np-Im Nedogon 服务 Xm 
@ SNMP Trap service (UDP In) SNMP Trap 辐 
@ SNMP Trap Service (UDP In) SNMP Trap ~ 
gy Made Mananemg™ ee Wndones Mansonmentlt. 大 
alll) 














6-61 查看 


(9) 用 计算 机 也 再 次 ping 测试 计算 机 A, 发 现 可 以 通过 防火 墙 ping 通 计算 机 A, 如 
图 6-62 所 示 。 


:Nsers\skyYping 192.168.1.113 


了 
192.168.1.113 的 回 


192.168.1.113 的 回 


提 《tms TTL=128 
自 192.168.1.113 的 回 


Jiel<ims TTL=128 


92.168.1.113 的 Ping 


i i 2 5 | 
图 6-62 测试 


6.2.2 Windows 7 防火 墙 公 用 网 络 配 置 

【实验 名 称 】 

Windows 7 防火 墙 公用 网 络 配置 。 

【实验 日 的 】 

(1) 通过 对 出 站 规则 的 配置 ,用 户 在 公用 网 络 上 IE 浏览 器 不 能 通过 防火 墙 访问 外 网 ， 
其 他 不 受 限制 的 程序 能 通过 专用 防火 墙 的 程序 访问 外 网 。 

(2) 通过 对 入 站 规则 的 配置 .使 计算 机 B 能 够 通过 防火 墙 ping 通 计算 机 A。 
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【实验 设备 】 


一 台 装 有 Windows7 操作 系统 ,并 且 可 以 连接 网 络 的 PC。 


【实验 原理 】 


公用 网 络 指 的 是 在 酒店 或 者 商场 之 类 的 公共 场所 , 毫 不 相干 的 人 都 可 以 随便 使 用 的 网 


【实验 任务 1】 





。 他 人 可 以 通过 搜索 看 到 你 的 共享 文件 夹 ,或 者 获取 一 些 系 统 的 信息 。 


设置 网 络 配置 ,在 公用 网 络 的 情况 下 ,允许 IE 浏览 器 上 网 。 


【实验 步骤 】 


(1) 在 “控制 面板 ”中 ,选择 “系统 和 安全 ”, 进 入 “Windows 防火 墙 ”, 如 图 6-63 所 示 。 


| ，pmcarreaaera | 


控制 面板 主页 


吨 请 邓 阅 
各 作 中 心 
网 络 和 共享 中 心 


使 用 Windows 防火 墙 来 帮助 保护 您 的 计算 机 
Windows 防火 墙 有 了 助 于 防止 黑客 或 秋 塌 软件 通过 Internet 或 网 阁 访问 您 的 计算 机 














防火 :30 何 攻 助 保护 计算 机 ? 
什么 旺 网 络 位 置 ? 
更 新 防火 培 设 置 
Windows 防火 境 未 使 用 推荐 的 设置 来 保护 计算 [部 全 用 推荐 设置 | 
机 . 
推荐 的 设置 有 哪些 ? 
图 多 If(saso) 已 连接 @ 
您 知道 目 信任 的 用 户 和 设备 所 在 的 款 庭 或 工作 网 阁 
Windows 防火 增 状 坊 : 关闭 
传 入 连接 : 阻止 所 有 与 未 在 允许 程序 列表 中 的 程序 约 连 接 
活动 的 家 庭 或 工作 { 专 用) 网 络 : 到 Nework 
通知 状 赤 : Windows 防火 翅 胃 止 新 程序 时 通知 我 
图 8 全 ms 已 过 说 @ 
公共 场所 (例如 机 场 或 央 妖 店 ) 中 的 网 络 
Windows 防火 培 状态 : 关闭 
传 入 连接 : 阻止 所 有 与 未 在 允许 程序 列表 中 的 程序 的 连接 
活动 的 公用 网 络 : 同 未 RBI 的 网 络 
通知 状 坟 : Windows 防火 堵 阴 止 新 程序 时 通知 生 


6-63 ”Windows 防火 墙 


(2) 在 窗口 的 左边 , 单 击 “打开 或 关闭 Windows 防火 墙 ”, 设 置 防 火 墙 的 开关 ,在 “公用 
网 络 位 置 设置 "中 ,选择 “启动 Windows 防火 墙 ? .如 图 6-64 所 示 。 

(3) 然后 打开 “网 络 和 共享 中 心 ”, 如 图 6-65 所 示 , 在 “查看 活动 网 络 ” 中 单 击 “ 工 作 
网 络 ”。 
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Gj =| 司 、 过 汕 对 和 安全 ， Windows 防火 培 ， 自 十 义 设置 


自 定 义 每 种 类 型 的 网 络 的 设置 

息 可 以 禾 改 称 所 使 用 的 每 种 关 型 的 网 阁 位 置 的 防火 墙 设置 

什么 是 网 络 位 置 ?7 

家 旗 或 工作 (专用 ) 网 络 位 置 设置 

留 加 启用 Windows 防火 墙 
口 阻 上 所 有 传 入 连接 ,包括 位 于 允许 程序 列表 中 的 程序 
团 Windows 防火 过 阻止 新 得 序 时 通知 折 

LX) 加 关闭 Windows 防火 培 (不 推荐 ) 

公用 网 阁 位 置 设置 

多 加 启用 Windows 防火 培 
回 阻 上 所 有 传 入 连接 , 包括 位 于 允许 得 序列 表 中 的 程序 
国 Windows 防火 寺 阻 止 新 程序 对 通知 我 


团 © windows Wk) 





图 6-64 启动 











图 6-65 网 络 和 共享 中 心 
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(4) 在 “设置 网 络 位置 ”" 中 ,选择 “公用 网 络 ”, 如 图 6-66 所 示 。 











图 6-66 设置 网 络 位 置 


(5) 回 到 “Windows 防火 墙 ”界面 ,如 图 6-67 所 示 , 在 “公用 网 络 ” 中 有 防火 墙 已 经 被 启 
动 ,并 且 已 经 工作 在 公用 网 络 下 。 


€]> amesW P| 
使 用 Windows 防火 墙 来 帮助 保护 您 的 计算 机 站 
Windows 防火 境 有 助 于 防止 黑客 或 悉 便 软件 通过 Internet 或 网 络 访问 您 的 计算 机 











国电 I 作 ( 专 霹 (0) 
克 公用 网 络 P) 











公共 场所 (人 in 机 场 或 著 啡 店 ) 中 的 网 阁 

















图 6-67 启动 
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(6) 在 “高 级 安全 


Windows 防火 墙 ”设置 中 , 右 击 “本 地 计算 机 上 的 高 级 安全 Windows 





防火 墙 ”", 弹 出 菜单 选择 “属性 ”命令 ,在 “公用 配置 文件 ”选项 卡 中 配置 防火 墙 的 “入 站 连接 ” 
为 “阻止 ”",“ 出 站 连接 ”为 “允许 ”, 如 图 6-68 所 示 。 



































加 地 佑 Yindovs 防火 增 行 为 的 





| 指定 用 于 磊 难 解答 的 日 志 设 置 














CE ww 








6-68 ”公用 配置 文件 


(7) 打开 IE 浏览 器 ,测试 网 络 是 否 连通 ,如 图 6-69 所 示 , 在 公用 网 络 下 可 以 正常 上 网 。 





食 KE 天 | 入 吴 建 RJ ~ 四 RE > 





| 虹 MNSN 广 网 ;本 商 生活 让 SP (MSN 襄 广 下 域 | 从 -回忆 中 ”mm ssg- IR(O)- 人 @- 








合 设 为 首页 。 实 户 端 ~ 


时 尚 生 瑞 - 白领 门户 


MSN 


MSN 点 面 主 是 下载 





网 页 | 图 片 | 视 5 


也 必 应 





常用 网 站 ”微软 官方 杀毒 (免费 ) ” outlook 邮箱 ”最 新 主题 IE11 官 方 下 载 ”微软 商城 


资讯 军事 娱乐 体育 
理财 银行 博览 深度 
保险 基金 黄 全 商业 


汽车 试 号 汽车 大 全 文娱 电影 明星 昌 尚 专题 试用 名 康 营养 育 / 
房产 新 房 家 局 装修 历史 财富 影响 力 女人 时 委 办 公 室 。 租房 二 手 海 
数码 科技 Win8 App ”图 I 潮流 生活 奢 品 名 品 婚 尚 健康 社区 理财 - 
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【实验 任务 2】 
设置 防火 墙 规则 ,在 公用 网 络 的 情况 下 ,用 于 实验 的 计算 机 B 不 能 ping 通 本 地 计算 
机 A。 


(1) 在 "Windows 防火 墙 ? 界 面 中 的 左 侧 , 单 击 * 高 级 设置 ”出现 "高 级 安全 Windows 防 
火 墙 ”, 右 击 “ 出 站 规则 ”, 弹 出 “新 建 出 站 规则 向 导 ”, 如 图 6-70 所 示 。 


规则 类 型 
选择 要 创 建 的 防火 墙 规 风 l 类 型 


目 程序 到) 
控制 程序 连接 的 规则 。 


器 庙 D @) 
控制 TcP 或 UDP 端口 连接 的 规 出 。 
© WEXE): 


[Branchcache - 对 等 机 发 现 (使 用 WSD) 
控制 Yindovs 体验 功能 连接 的 规则 。 


加 自 定义 (C) 
自 定义 规则 * 








[Eu] 











图 6-70 出 战 规则 
(2) 选择 “此 程序 路 径 ”, 如 图 6-71 所 示 。 


程序 
指定 此 规则 匹配 的 程序 的 完整 程序 路 径 和 可 执行 程序 名 称 。 


该 规则 应 用 于 所 有 程序 还 星 特定 程序 ? 


司 所 有 程序 @&) 
规 刚 应 用 于 与 其 他 规 刚 属 性 相 匹配 的 计算 机 上 的 所 有 连接 * 


侣 此 程序 路 径 CD) : 





示例 - cpPathvprogran exe 
XProgr anFilesX\browser\browser. exe 


服务 
指定 应 用 该 规 风 9 服务 " 


卫 稻 指定 程序 的 洋 细 信息 














图 6-71 此 程序 路 径 
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(3) 选择 浏览 程序 所 在 位 置 ,这 里 选择 IE 浏览 器 ,如 图 6-72 所 示 。 


ee 


二 ~ 国 @@ 
修改 日 其 类 型 





2011/4/12 22:45 。 文件 严 
2010/1121 11:31 ”文件 夹 
2011/4/12 22:45 。 文件 夫 
2010/11/21 11:25 
2010/11/21 11:25 


2009/7/14 9:14 


010/11/21 














6-72 ”选择 游览 器 


(4) 协议 和 端口 ,这 里 可 根据 具体 的 实验 目标 来 选择 ,在 协议 类 型 中 选择 “任何 ”, 如 
图 6-73 所 示 。 


协议 和 端口 
指定 此 规 刚 应 用 于 的 协议 和 庙 口 * 
此 规 刚 应 用 于 哪些 端口 和 协议 ? 


协议 类 型 F): 
协议 号 0D: 0 鲁 


本 地 端口 了 L): 所 有 淇 口 ” 


示例 : 80、443、5000-5010 











所 有 庙 口 ” 


5 80、443、5000-5010 


和 








6-73 ”协议 和 端口 
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(5) 指定 要 应 用 此 规则 的 本 地 和 远程 IP 地址 ,也 可 以 根据 不 同 的 需求 来 指定 ,选择 “ 任 
何 IP 地 址 ”, 如 图 6-74 所 示 。 









































图 6-74 作用 域 


(6) 连接 符合 指定 条 件 的 操作 ,在 前 面 允许 了 所 有 不 被 阻止 的 程序 通过 防火 墙 的 网 络 ， 
在 这 里 是 要 让 IE 浏览 器 不 能 通过 防火 墙 访问 外 网 ,所 以 选择 “阻止 连接 ”, 如 图 6-75 所 示 。 


连接 符合 指定 条 件 时 应 该 进行 什么 操作 ? 


由 允许 连接 OA) 
这 世 括 使 用 IFses 保护 以 及 未 使 用 IPsee 保护 的 连接 < 


以 。 使 用 Isee 属性 中 的 设置 以 及 连接 安 





图 6-75 操作 
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(7) 指定 此 规则 应 用 的 位 置 ,因为 配置 的 规则 是 要 用 于 公用 网 络 的 ,所 以 选择 “公用 ”， 
如 图 6-76 所 示 。 





何 时 应 用 该 规 R 


回 域 o) 
计算 机 连接 脂 | 其 企业 域 时 应 用 。 


回 专用 GD) 
计算 机 连接 到 专用 网 络 位 置 时 应 用 。 


周公 用 0nD 
计算 机 连接 至 | 公 用 网 络 位 置 时 应 用 。 








图 6-76 配置 文件 
(8) 完成 “出 站 规则 ”的 配置 ,不 允许 IE 浏览 器 通过 防火 墙 ,如 图 6-77 所 示 。 








者 BranchCache 对 等 机 发 现 (WSsD-In) BranchCache - 对 等 机 发 现 -… 


者 BranchCache 内 容 恰 过 (HTTP-In) BranchCache - 内 容 愉 索 (.… 
BranchCache - 托 答 尖 存 最 
iSCSI 服务 
isCsl 服务 

-HTTP 流 (TC- Media Center Extender 
~ qWave (TCP.. Media Center Extender 
- qWave (UD.. Media Center Extender 
- RTSP (TCP-In) Media Center Extender 
- SSDP (UDP-.. Media Center Extender 
- WMDRM-N-，Media Center Extender 
- XSP (TCP-In) Media Center Extender 
- 疙 体 流 (TCP-.。 Media Center Extender 

才 Netiogon 服务 (NP-In) Netlogon 服务 

@ SNMP Trap Service (UDP In) SNMP Trap 

SNMP Trap service (UDP In) SNMP Trap 

BWindows Management Instrumentati. Windows Management In ~ 

1 


国 国史 六 钙 

















图 6-77 出 站 规则 
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(9) 测试 IE 浏览 器 是 否 可 以 通过 防火 墙 连接 网 络 , 如 图 6-78 所 示 。 


安 Ka 严 | 鹤 朵 建 尺 网 站 ” 日] 网 克 快 和 车 
re | 从 -上 国 - 杞 砚 - iP)- 安全 S)- IRo 加 - 























3 @ Intemnet | 全 ?模式 启用 而- 中 100% 一 
6-78 ”测试 
(10) 入 站 连接 ,这 里 选择 “阻止 ”", 如 图 6-79 所 示 。 











[i 文件 [专用 配对 文件 | 公用 配置 文件 ZFSee 设置 


指定 将 计算 机 连接 到 公用 网 络 位 置 的 行为 > 


设置 
辐 括 Yindows 防火 墙 行为 的 





日 志 
国 指定 用 于 疑难 解答 的 日 志 设 置 。 











ED ee [ER 





图 6-79 配置 
(11) 在 命令 行 输入 “ipconfig/all”, 查 看 本 机 的 IP 地 址 ,如 图 6-80 所 示 。 
(12) 用 计算 机 B 进行 ping 测试 发现 不 能 ping 通 计算 机 A, 如 图 6-81 所 示 。 
【实验 任务 3】 


配置 “ 自 定义 ”规则 ,使 协议 ICMP 通过 防火 墙 。 
(1) 配置 自 定义 入 站 规则 ,使 协议 ICMP 能 够 通过 防火 墙 ,如 图 6-82 所 示 ,配置 自 定义 
规则 。 
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: IntelCR> PRO/1880 HT Network Connection 
88-8C-29-48-2D-82 


192.168.1.113《 首 选 > 


255.255.255.8 
8 394 年 ? 月 3 上 18:28:33 
: 2814 年 9 月 27 日 22:19:36 
192.168.1.1 
192.168.1.1 


DHCPu6 IRID : 234884137 
DHCPv6 客户 端 DUID : 80-81-89-81-18-BG-33-11-86-86C-29-48-2D-82 


: 192.168.1.1 
本 B.9.9 





图 6-80 测试 1 


:Msersvskyyping 192-168-1.113 
Ping 192.168.1.113 具有 32 字 节 的 数据 : 


时 





a 上 


6-81 测试 2 


玫 碗 择 要 创建 的 防火 墙 规 风 类 型 


司 程序 到 ) 
控制 程序 连接 的 规则 。 


器 英 D @) 
控制 TCF 或 UDP 端口 连接 的 规则 。 


加 预定 义 @E);: 
[Branchcache - 对 等 机 发 现 (使 用 WSD) 








控制 Windows 体验 功能 连 按 的 规 刚 。 
加 自 定义 CC) 
自 定义 规则 。 

















图 6-82 自 定义 规则 
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(2) 选择 “所 有 程序 ”, 规 则 应 用 于 与 其 他 规则 属性 相 匹 配 的 计算 机 上 的 所 有 连接 ,如 


图 6-83 所 示 。 





程序 
指定 此 规则 严 配 的 程序 的 完整 程序 路 径 和 可 执行 程序 名 称 * 


该 规则 应 用 于 所 有 程序 还 是 特定 程序 ? 


回 所 有 程序 4) 
规 风 应 用 于 与 其 他 规则 属性 相 匹配 的 计算 机 上 的 所 有 连接 。 


司 此 程序 路 径 CD)- 














示例 : ci \path\pr ogr an exe 
5 ee 





图 6-83 匹配 程序 


(3) 协议 和 端口 ,端口 选择 “所 有 端口 ”, 如 图 6-84 所 示 。 


[所 爱 吕 





示 网 -0、443、 5000-5010 
MAW 


示例 ; 80、 443、5000-5010 
如 oi [EX 








了 部 协 说 和 应 口 的 闫 细 信 息 











图 6-84 协议 和 端口 
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(4) 选择 将 此 规则 应 用 于 “任何 IP 地 址 ”实际 应 用 中 可 根据 具体 IP 来 设 定 ,一般 允许 
访问 规则 以 最 小 权限 为 准 ), 如 图 6-85 所 示 。 


作用 域 
指定 要 应 用 此 规 风 的 本 地 和 运程 IF 地 址 。 


此 规则 应 用 于 哪些 本 地 IP 地 址 ? 
图 任何 匡 地 址 8) 
© 下列 亚 地址 四; 


















































图 6-85 “作用 域 
(5) 选择 “允许 连接 ”, 符 合 指 定 条 件 的 连接 ,如 图 6-86 所 示 。 
| 摊 作 
| 指定 在 连接 与 规则 中 指定 的 条 件 相 [0E88j 要 所 行 的 操作 。 
连接 符合 指定 条 件 时 应 该 进行 什么 操作 ? 


加 允许 连接 OA) 
这 包括 使 用 IPsee 保护 以 及 未 使 用 IPsec 保护 的 连接 。 


章 只 允许 安全 连接 CC) 
六 介 攻 人 IPsec ¥ 按 。 使 用 IPsee 属性 中 的 设置 以 及 连接 安 


司 阻止 连接 Cg) 








图 6-86 ”人 允许 连接 
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(6) 这 里 只 做 公用 网 络 的 实验 ,所 以 选择 “公用 ”, 如 图 6-87 所 示 。 


配置 文件 
指定 此 规则 应 用 的 配置 文件 


何 时 应 用 该 规则 ? 


域 @) 
计算 机 连接 到 其 企业 sd 应 用 。 


专用 GD) 

计算 机 连接 到 专 用 网 络 位 置 时 应 用 。 
公用 QD 

计算 机 连接 到 公用 网 络 位 置 时 应 用 。 

















图 6-87 配置 文件 
(7) 在 入 站 规则 中 ,可 以 看 到 刚 加 入 的 允许 ICMP 通过 的 规则 ,如 图 6-88 所 示 。 














BranchCache - 对 等 机 发 现 .… 
BranchCache - 内 容 检索 (-- 
BranchCache - 托管 续 存 服 …- 
iSCSI 服务 
iSCSI 服务 
Media Center Extender 
- qWave (TCP.. Media Center Extender 
~ qWave (UD.. Media Center Edender 
-RTSP (TCP-In) Media Center Edender 
- SSDP (UDP-.. Media Center Exender 
- WMDRM-N.. Media Center Extender 
OB Media Center Extender - XSP (TCP-In) Media Center Extender 
国 Media Center Edender - 媒体 流 (TCP- Media Center Extender 
@ Netiogon (NP-In) Netlogon 服务 
@ SNMP Trap Service (UDP In) SNMP Trap 
SNMP Trap Service (UDP In) SNMP Trap 
BWindows Management Instrumentati. Windows ManagementIn ~ 
1 L 





四 回 X 史 > 和 国 加 
a 

















6-88 ”ICMP 规则 
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(8) 用 计算 机 了 B 再 次 进行 ping 测试 ,在 计算 机 A 上 看 到 可 以 通过 防火 墙 ping 通 计 算 
机 A, 如 图 6-89 所 示 。 






:Nsers\skyYping 192.168.1.113 


F 在 Ping 192.168.1. Re 具有 32 和 
192.168.1.113 的 回复 : 字 节 -32 时 | 闻 -ins TTL=128 
192.168.1.113 外 : 字 节 -32 二 ctms TITL=128 
和 192.168.1.113 的 回 : 于 入 -32 村 本 =1ms TTL=128 
192.168.1.113 的 回复 : 字 节 =32 时 |8]《ins TTL=128 





ND 


92.168.1.113 的 Ping 和 


a 和 


4， 于 失 = 9《Bx 于 失 》， 


遇 


.数据 包 : 上 已 发 过 = 4， 已 接收 = 4， 哇 失 = 8 《Bx 丢失 )， 目 
图 6-89 测试 


6.2.3 Windows 7 防火 墙 自 定 义 IPSec 配置 

【实验 名 称 】 

自 定义 IPSec 配置 。 

【实验 日 的 】 

通过 设置 Windows 7 防火 墙 , 实 现 对 专用 网 络 的 配置 。 

【实验 设备 】 

一 台 装 有 Windows 7 操作 系统 ,并 且 可 以 连接 网 络 的 PC。 

【实验 原理 】 

Internet 协议 安全 性 (IPSec) 是 一 种 开放 标准 的 框架 结构 ,通过 使 用 加 密 的 安全 服务 以 
确保 在 Internet 协议 (IP) 网 络 上 进行 保密 而 安全 的 通信 。 

可 以 配置 IPSec 用 来 帮助 保护 网 络 流量 的 密 钥 交换 、 数 据 保护 和 身份 验证 方法 。 
单 击 “ 自 定义 ”可 以 显示 “ 自 定义 IPSec 设置 ?对 话 框 。 当 具有 活动 安全 规格 时 ,IPSec 将 
使 用 该 项 设置 规则 建立 安全 连接 ,如 果 没 有 对 密 钥 交 换 ( 主 模式 )、 数 据 保 护 (快速 模 
式 ) 和 身份 验证 方法 进行 指定 , 则 建立 连接 时 将 会 使 用 组 策略 对 象 (GPO) 中 优先 级 较 
高 的 任意 设置 ,顺序 : 最 高 优先 级 组 策略 对 象 (GPO) 一 本 地 定义 的 策略 设置 IPSec 设 
置 的 默认 值 。 

【实验 步骤 】 

(1) 打开 “控制 面板 ”>“ 系 统 和 安全 ”>“Windows 防火 墙 ” ,如 图 6-90 所 示 。 

(2) 在 ”Windows 防火 墙 ”界面 中 的 左 侧 , 单 击 “ 高 级 设置 ”出现 “ 高 级 安全 Windows 防 
火 墙 ”, 如 图 6-91 所 示 。 

(3) 在 “高 级 安全 Windows 防火 墙 ? 设 置 中 , 右 击 “本 地 计算 机 上 的 高 级 安全 Windows 
防火 墙 ? ,弹出 菜单 选择 “属性 ?命令 ,选择 "IPSec 设置 ?选项 卡 , 如 图 6-92 所 示 。 

(4) 自 定义 IPSec 设置 ,如 图 6-93 所 示 。 
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使 用 Windows 防火 墙 来 帮助 保护 您 的 计算 机 
Windows 防火 坛 有 助 于 防止 备 客 或 于 总 软件 各 过 Internet 或 网 络 访问 宪 的 计算 机 - 








防火 壤 如 何 才 助 保护 计算 机 ? 
什么 县 网 络 位 十 ? 
Windows 防火 二 未 使 用 推荐 的 设置 来 保护 计算 rr 
机 加 使 用 准 和 设 吾 
推荐 的 设置 有 吉 此 ? 
图 二 es 工作 二 用 网 8(O) Bi 持 因 
和 于 进 目 信任 的 用 广 和 设备 所 在 的 家 许 芭 工作 网 络 
Windows 防火 培 拓 坊 : 尖 问 
传 入 连接 : 阻止 所 有 与 未 在 允许 程序 列表 中 的 程序 的 注 接 
活动 的 训话 或 工作 (专用 ) 网 络 : 本 Network 
天 30 枯 态 : Windows 防火 二 旧 目 新 得 序 时 通知 统 
图 人 me) Bi 接 @ 
公共 场所 (59 机场 或 有 只 大 中 的 网 络 
Windows 防火 过 状态 : 关闭 
传 入 和 连接; 朋 止 所 有 与 未 在 允许 程序 列 要 中 的 程序 的 连接 
活动 的 公用 网 络 : 同 ” 示 RB 的 网 络 
0 六 太 : Windows 防 灸 二 阻止 新 程序 时 通知 入 
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哈 高 妆 安 全 Nundows 防火 增 为 iadors 计算 机 提供 网 结 安全 。 





概述 

域 配置 文件 

邮 Winaows 防火 墙 已 让 用 。 

图 阳 上 与 规 MW 下 ER 的 入 站 演 接 。 
加 爷 许 与 规则 不 四 可 的 出 法 连接 。 
专用 配置 文件 

褒 Yinaoms 防火 墙 已 关闭 。 
公用 配置 文 件 是 活动 的 

车 Yinaos 防火 墙 已 启用 。 

国 限 贞 与 规 M 不 四 可 的 入 法 连接 。 
加 允许 与 规 由 四 可 的 出 法 连接 。 
加 indows 防火 垣 属性 








入 门 


计算 机 之 问 的 身份 验证 通信 


it 注 棕 守 全 性 要 Iij 宝 何 了 图 _Tniernet 夫 记 安全 性 TPSer3j 计 和 机 广 辣 和 4 ” 
+ 
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a 了 瑟 ses 将 使 用 这 些 设置 建立 安全 连 
使 用 默认 选项 时 ， 将 使 用 GF0 中 优先 级 较 高 的 任意 设置 。 


ET TE DT 


TPsee 点 认 什 - - 
el Pn 十 加 交 搞 和 模式 ) 
加 默认 值 推荐 ) 四 ) yy 
© RO EA 
IPsec 免除 
站 全 oem mee 了 
从 a 目 高 如 中 自 定义 G@) 
IPSec 免除 II G@) | 否 碘 认 值 ) = 
身份 验证 方法 
加 点 认 值 中 
IPsec 隘 道 援 权 全 计算 机 和 用 户 Xerberos v5) 四 
a 手提 可 于 与 此 计算 机 的 IPSec 隧道 连接 的 用 户 © 计算 机 Gerberes Y5) @) 
© 用 户 (Kerberos V5) W 











图 无 四 
日 高 RD 
































图 6-92 ”IPSec 设置 图 6-93 自 定义 


(5) 密 钥 交换 ,添加 安全 方法 ,如 图 6-94 所 示 。 
(6) 将 添加 的 安全 方法 调整 到 第 一 位 置 ,如 图 6-95 所 示 。 


4 安全 方法 
性 总 : 对 生 钥 交换 使 用 以 下 安全 方法 。 首 先 宪 试 使 用 位 于 列表 六 高 位 置 的 方法 。 
SW | 
与 Windovs Vists SP1 和 更 高 版 本 兼容 。 











于 四 交换 算法 


Tiftie-iallam Grosp 2 (WM 认 ) 
加 密 算 法 区 ) 有 APS-CBC 128 Diffie-iellnan Group 2 


3 DifEie-kellnan Group 2 
ER 


国 比 DES 的 资源 使 用 车 更 高 。 











no. 

十 久生 存 如 二 和 交换 和 历 吕 ) 
密 钥 交换 算法 @) : 
二 





| 
国 比 避 组 1 更 安全 。 





二 回 的 mi 二 用 于 增强 


FR 





了 稻 关 干 加密 科 法 和 计 浆 性 香 法 的 详细 信息 -一 学 


CC] 到 























图 6-94 添加 安全 方法 图 6-95 ”添加 安全 方法 


(7) 自 定义 “数据 保护 ”模式 ,如 图 6-96 所 示 。 
(8) 在 数据 完整 性 算法 中 选择 算法 ,如 图 6-97 所 示 。 


(9) 添加 完整 性 算法 ,如 图 6-98 所 示 , 这 里 选择 ESP ,为 数据 验证 提供 完整 性 。 
(10) 确定 数据 完整 性 加 密 , 如 图 6-99 所 示 。 
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Ne ?sec 将 使 用 这 些 设置 建立 安全 连 


使 用 默认 选项 时 ， 将 使 用 90 中 优先 级 较 高 的 任意 设置 。 


密 胃 交换 主 模式 ) 
日 默认 值 难 荐 ) 四 ) 
加 高 级 内 


数据 保护 快速 模式 ) 

日 黑 认 值 瞿 荐 ) 由 

国 高 级 中 
身份 验证 方法 

加 默认 值 中 

回 计算 机 和 用 户 Kerberos V5) EE) 
© 计算 机 Kerberos Y5) ER) 

同 用 户 (Kerberos Yy5) WD) 

刁 高 级 中 


6-96” 自 定义 设置 


连接 安全 规则 使 用 数据 保护 设置 保护 网 络 流量 。 


要 求 使 用 这 些 设置 的 所 有 安全 连接 使 用 加 密 @@)。 
数据 完整 性 


居中 放 靖 上 二 。 列表 中 最 


效 据 完整 性 算法 加) : 




















完整 性 密 钥 生存 期 分 种 /I) 
SHA-1 60/100, 000 AES-CB. 
SHA-1 50/100, 000 3DES 














60/100, 000 
B60/100, 000 











图 6-97 选择 算法 





1 防火 墙 技术 及 应 用 实践 教程 





协议 
回 ESP (推荐 ) (E) 

et 了 SF 与 网 络 地 址 转换 QIAT) 
©Ou 

和 as 和 了? 标 头 提供 完整 性 。AH 协议 与 RAT 不 








图 6-98 添加 完整 性 算法 


连接 安全 规 风 使 用 数据 保护 设置 保护 网 络 流量 。 


要 求 使 用 这 些 设置 的 所 有 安全 连接 使 用 加 密 QQ) 。 

数据 完整 性 孝 据 完整 性 和 加 密 

全 请 在 FRR 抽 提 。 列表 中 最 钴 7 和 生 0 并 保 拉 人 
孝 据 完整 性 算法 吕 ) 

协议 


ESP 
MM 


数据 完整 性 和 加 密 算法 00 : 
完整 性 ” 密 钥 生存 期 分 钟 /XB) 


议 完整 性 ”加密 
Er 60/100, 000 SHA-1 
SHA-1 60/100, 000 


SHA-1 





密 角 生存 期 ( 
60/100, 000 
607100, 000 


MES-CB. . 
3DES 














未 加 以) ，] [编辑 外 ) 








] [ Ws m ] 











ET NE Ca 





图 6-99 数据 完整 性 加 密 
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(11) 设置 “身份 验证 方法 ”, 这 里 选择 “高 级 ”, 并 且 选 择 “ 自 定义 ”, 如 图 6-100 所 示 


RN 芋 sec 将 使 用 这 些 设置 建立 安全 连 


使 用 默认 选项 时 ， 将 使 用 SP0 中 优先 级 较 高 的 任意 设置 < 


密 钥 交接 生 模 式 ) 
日 默认 值 推荐 ) 四 ) 
加 高 级 多 


数据 保护 快速 模式 ) 


日 默认 值 推荐 ) 中 
加 高 级 中 I 


LEEXD 





身份 验证 方法 

个 默认 全 到 ) 

卓 计算 机 和 用 户 erberos V5) G) 
© 计算 机 (kerberos W5) (BE) 

同 用 户 Kerberos Y5) W) 

回 高 级 中 





6-100 自 定义 身份 验证 方法 


(12) 在 第 一 身份 验证 方法 中 单 击 “添加 ”按钮 ,进行 身份 验证 设置 ,如 图 6-101 
所 示 。 


第 一 身份 验证 第 二 身份 验证 
Re 

第 一 身份 验证 方法 中); 第 二 身份 验证 方法 6): 

方法 其 他 信息 方法 其 他 信息 

计算 机 Kerberos 

















i [二 E 吕 [ED nm) [RRO 出 除 o) 
局 第 一 身份 举证 可 选民 ) 


思 第 二 身份 验证 可 选 虽 
得 和 息 从 讼 方 法 列表 中 存在 所 共享 密 狠 直 不 能 指定 第 二 


























6-101 身份 验证 设置 


123 


124 防火 墙 技术 及 应 用 实践 教程 





(13) 添加 “ 预 共 享 密 钥 ”, 如 图 6-102 所 示 。 


选择 用 于 第 一 身份 验证 的 凭据 : 

© 计算 机 Gerberos Y5) ) 

© 计算 机 OrTUiv2) 0 

问 来 自 下 到 下 书 颁发 机 构 CA) 的 计算 机 证 书 5); 
签名 算法 6): RSA 全 认 ) 加 


证 书 让 条 类 型 m， [要 尽 全 | 








| 

口 只 接受 健康 证 书 00) 

口 启用 证 # 至 人 帐户 的 映射 
图 预 共 享 客 钥 不 推荐 ) P): 

abd 


a 


了 裔 第 一 身份 验证 方法 的 详细 信息 








[L 喧 ][L 师 








图 6-102 预 共 享 密 钥 1 
(14) 将 “ 预 共 享 的 密 钥 ”调整 第 一 位 ,如 图 6-103 所 示 。 


第 一 身份 验证 


WR 


第 一 身份 验证 方法 中); 


方法 其 他 信息 


预 共 享 的 密 钥 abe 
计算 机 (Kerberos 


























未 加 中 ).. ] [编辑 加 ) om) ] 
口 第 二 身份 验证 可 选 0 
和 于 中 存在 搞 共 享 志 外 时 ， 不 能 指定 第 二 





蕊 啶 二 局 











6-103 预 共 享 密 钥 2 
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(15) 单 击 “ 确 定 ”按钮 ,完成 “ 自 定义 IPsec 设置 ”， 


如 图 6-104 所 示 。 en, 了 see 将 使 用 这 些 设 轩 建立 安全 连 
信用 愤 认 选项 时 ， 将 使 用 ?0 中 优先 级 校训 的 任意 设置 。 


6.2.4 Windows 7 防火 墙 IPSec 隧道 授权 
王 钥 交换 和 主 模式 ) 


【实验 名 称 】 2 | 
Windows 7 防火 墙 IPSec 隧道 授权 。 和 


OY 

v L 自 定 XG-. | 
【实验 日 的 】 a 

设置 Windows 7 防火 墙 , 实 现 对 IPSec 隧道 授权 pe 


© tN Gerberes Y5) 四 























的 配置 。 2 E 
【实验 设备 】 
了 裔 有 关 ?see 设 加 69 如 信息 
一 台 装 有 Windows 7 操作 系统 ,并 且 可 以 连接 网 | 一 一 一 一 
络 的 PC。 
【实验 拓扑 】 图 6-104 完成 设置 





站 本 地 隧道 终结 点 





远程 隧道 终结 点 


【实验 原理 】 


IPSec 隧道 为 IP 通信 提供 安全 性 。 该 隧道 可 配置 为 保护 两 个 IP 地 址 或 两 个 IP 子 网 之 
间 的 通信 。 如 果 在 两 台 计 算 机 而 不 是 两 个 网 关 之 间 使 用 隧道 , 则 AH (Authentication 
Header, 网 络 认 证 协议 ) 或 ESP(Encapsulating Security Payload, 封 装 安 全 载荷 协议 ) 有 效 
负载 之 外 的 IP 地 址 将 与 AH 或 ESP 有 效 负载 之 内 的 卫 地 址 相同 。 配 置 隧道 的 方法 是 ,使 
用 “IP 安全 策略 管理 ”和 “组 策略 ”控制 台 以 配置 并 启用 两 个 规则 。 

【实验 和 步骤】 


(1) 打开 “控制 面板 ”>“ 系 统 和 安全 ”一 “Windows 防火 墙 ", 如 图 6-105 所 示 。 
(2) 在 “高 级 安全 Windows 防火 墙 ”设置 中 , 右 击 “ 本 地 计算 机 上 的 高 级 安全 Windows 
防火 墙 ”, 弹 出 菜单 选择 “属性 ”命令 ,选择 “IPSec 设置 ”选项 卡 ,如 图 6-106 所 示 。 


(3) 在 “IPSec 隧道 授权 ”中 选择 “高 级 ”, 单 击 “ 自 定义 ”按钮 ,如 图 6-107 所 示 , 设 置 授权 
计算 机 的 连接 。 


(4) 添加 允许 连接 的 计算 机 ,如 图 6-108 所 示 。 
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可 看 当前 防火 培 以 及 ?sec 第 略 和 活动 























6-105 ”防火墙 











[rr A 
JIPsec 默认 值 
. 挫 IPsec 用 于 建立 安全 连接 的 设 [ 目 定 Xc) 











计 其 机 | 国 记 可 
已 授权 的 计 基 机 
加 人 f 许 来 自 下 列 计 其 机 的 连接 ) 











IPSec 免除 
. [i 要 求 免除 ICWP 可 以 简化 网 阁 连 接 问 


从 IPsee 免除 Im 区 CEA 一 ”| 
ITPSee 隧道 授权 
虽 区 和 hp 的 IFSee 隧道 连 按 的 用 户 


©xtm 
回 高 级 0) 





例外 
加 拒绝 来 自 下 列 计算 机 的 连接 












































图 6-107 IPSec 隧道 授权 














检查 名 称 人 5) 
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图 6-108 添加 
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(5) 单 击 “ 高 级 ”按钮 ,如 图 6-109 所 示 。 
































指 述 四 ) 


口 禁 用 的 帐户 B) 
口 不 过 期 客 码 0) 














自 上 次 登录 后 的 天 数 立 ) 




















图 6-109 高 级 选项 
(6) 单 击 “* 立 即 查找 ”按钮 ,如 图 6-110 所 示 。 

















名 称 内 
描述 中) [起 始 为 


口 禁用 的 帐户 名 ) 
口 不 过期 密友 0) 


自 上 次 登录 后 的 天 数 上 
































图 6-110 ”查找 用 户 
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(7) 选择 对 象 名 称 , 如 图 6-111 所 示 。 
(8) 单 击 “ 确 定 ” 按 钮 ,完成 ,如 图 6-112 所 示 。 














i 轩 BBa 
已 授 积 的 计算 机 
国 人 At 许 来 自 下 列 计算 机 的 连接 中) 


页 ATNDRTTTWathenticated Users 


例外 
固 拒绝 未 自 下 列 计算 机 的 连接 






































图 6-111 选择 对 象 图 6-112 确定 


(9) 在 “IPSec 隧道 授权 ”中 选择 "高 级 ”,. 单 击 * 自 定义 ”按钮 ,打开 “用户 ?选项 卡 , 如 
图 6-113 所 示 ,设置 允许 来 自用 户 计 算 机 的 连接 。 
(10) 添加 允许 连接 的 用 户 或 组 ,如 图 6-114 所 示 。 


[ET 
所 可 的 用 户 
仅 外 放 来 自 下 列 用 记 的 这 接 D) 











例外 
图 拒绝 未 自 下 列 用 户 的 连接 












































图 6-113 人 允许 来 自用 户 计算 机 的 连接 图 6-114 添加 
(11) 单 击 “ 高 级 ”>“ 立 即 查找 ”, 添 加 用 户 , 如 图 6-115 所 示 。 
(12) 单 击 “ 确 定 ” 按 钮 ,完成 .如 图 6-116 所 示 。 
6.2.5 Windows 7 防火 墙 IPSec 配置 


【实验 名 称 】 
Windows 7 防火 墙 IPSec 配置 
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查找 位 置 中): 
BO-FC 


一 般 性 查询 
名称 和 ): [起 始 为 
指 述 m): [起 始 为 


门厅 用 的 帐户 @) 
口 不 过 期 密码 0 






































自 上 次 登录 后 的 天 数 0] 




















:. BO-IC 


BO0-FC 





图 6-115 添加 用 户 





授权 的 用 户 
公允 许 来 自 下 列 用 户 的 连接 0) 
BUTLTIN\Guests 











h 
拒绝 来 自 下 列 用 户 的 这 接 



































图 6-116 确定 
【实验 日 的 】 
设置 Windows 7 防火 墙 ,实现 对 IPSec 的 配置 。 
【 实验 设备 】 


一 台 装 有 Windows 7 操作 系统 ,并 且 可 以 连接 网 络 的 PC。 
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【实验 原理 】 

Internet 协议 安全 性 (IPSec) 是 一 种 开放 标准 的 框架 结构 ,通过 使 用 加 密 的 安全 服务 以 
确保 在 Internet 协议 (IP) 网 络 上 进行 保密 而 安全 的 通信 。 

可 以 配置 IPSec 用 来 帮助 保护 网 络 流量 的 密 钥 交 换 、 数 据 保护 和 身份 验证 方法 。 单 击 
“ 自 定义 ”可 以 显示 “ 自 定义 IPsec 设置 ?对 话 框 。 当 具有 活动 安全 规格 时 ,IPSec 将 使 用 该 项 
设置 规则 建立 安全 连接 ,如 果 没 有 对 密 钥 交 换 ( 主 模式 ) 数据 保护 (快速 模式 ) 和 身份 验证 方 
法 进行 指定 , 则 建立 连接 时 将 会 使 用 组 策略 对 象 (GPO) 中 优先 级 较 高 的 任意 设置 ,顺序 : 最 
高 优先 级 组 策略 对 象 (GPO) 一 本 地 定义 的 策略 设置 ~IPSec 设置 的 默认 值 。 

【实验 步骤 】 

(1) 在 “开始 ”菜单 中 ,打开 “运行 ”, 输 入 “gpedit. msc”, 如 图 6-117 所 示 。 


El 


Windows 将 根据 您 所 编 入 的 和 名称， 为 您 打开 相应 的 程序 
加 文件 夫 、 文档 或 Internet 资源 . 





打开 (O): gpeditmsc 时 


图 6-117 输入 命令 
(2) 分 别 单 击 “"Windows 设置 ”>“ 安 全 设置 ”>“IP 安全 策略 ”, 如 图 6-118 所 示 。 





和 中 | 主 园 | a Bl 日 可 | 

















图 6-118 组 策略 


(3) 右键 单 击 “IP 安全 策略 ”右键 单 击 “ 创 建 IP 安全 策略 ”, 弹 出 “IP 安全 策略 向 导 ”， 
如 图 6-119 所 示 。 





第 6 章 Windows 构筑 校园 网 服务 器 防火 墙 


131 





欢迎 使 用 IP 安全 策略 向 导 


并 各 





单 击 “ 下 一 步 "继续 。 


| (ESEELS) (cmes) 


图 6-119 ”IP 安全 策略 向 导 1 
(4) 为 IP 安全 策略 填写 一 个 名 称 ,如 图 6-120 所 示 。 




















IP 安全 策略 名 称 
| 命名 这 个 匡 安全 第 略 并 且 给 出 一 个 简短 的 所 述 





名 称 虽 


Test] 
| a 2 
| 
上 


区 上 = 点 轨 ] 攻 = 上 中 习 取消 



































图 6-120 ”IP 安全 策略 向 导 2 
(5) 单 击 “ 激 活 默认 响应 规则 ,如 图 6-121 所 示 。 


安全 通讯 请 求 
指定 这 个 第 略 如 何 对 安全 通讯 的 请 求 作出 响应 * 





Sat» 
浴 : 促 在 运行 守 ndows 2003 和 Windows XP 的 计算 机 上 支持 默认 响应 规 


固 法 活 上 默 认 响应 规则 ( 仅 限于 Windows 的 早期 版 本 ) BR) 。 











[上 = 步 oj] 攻 = 上 0 3] [取消 ] 




















图 6-121 1IP 安全 策略 向 导 3 
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(6) 单 击 “ 编 辑 属性 ”, 单 击 “ 完 成 ”按钮 ,完成 了 IP 安全 策略 的 新 建 ,如 图 6-122 所 示 。 


正在 完成 IP 安全 策略 向 导 


您 已 成 功 地 完成 指定 您 的 新 IP 安全 策 栈 的 属性 * 


下" 秆 下 ， 请 选中 “编辑 属性 ” 复 


国 编辑 属性 F) 


着 要 关闭 此 向 号 ， 请 单 击 “ 完 成 ”。 








EEC Ca | 





图 6-122 ”IP 安全 策略 向 导 4 


(7) 编辑 IP 安全 策略 属性 ,取消 勾 选 “ 使 用 添加 向 导 ””, 如 图 6-123 所 示 。 
(8) 单 击 “ 添 加 ”按钮 ,出 现 添加 新 规则 ,如 图 6-124 所 示 。 












































规 | 尘 规 | 1 信和 器 列 表 | 区 寺 器 所作 | 身份 办 证 方法 | 隘 道 设置 | 连接 类 型 
| 

se 和 其他 计算 机 通讯 安全 损 ml 于 。 呈 各 = 名 7 二 了 肌 个 网络 村 宙 此 风 
I? 安全 规则 吕 ) | Wis 

匡 往生 器 列表。 箱 先 和 操作 身份 只 证 方法 [Ee 所 示 

口 动态 > 默认 响应 ( 仅 限于 。 Kerberos | OBE EE 

| 
Pm | b | 
LET ED] 


























ED 区 





6-123 ”编辑 安全 策略 6-124 添加 新 规则 1 








(9) 在 IP 筛选 器 中 ,取消 勾 选 “使 用 "添加 向 导 ””, 并 添加 IP 筛选 列表 ,如 图 6-125 
所 示 。 


(10) 添加 IP 筛选 器 ,如 图 6-126 所 示 , 源 地 址 选择 为 “任何 IP 地 址 ,目标 地 址 为 “我 的 
IP 地 址 ”。 
(11) 在 “协议 "选项 卡 中 ,选择 ICMP, 如 图 6-127 所 示 。 


(12) 在 “新 规则 属性 ”对 话 框 中 单 击 “ 筷 选 器 操作 ”标签 ,取消 勾 选 “ 使 用 “添加 向 导 ””， 
如 图 6-128 所 示 。 
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辆 科 像 0)。 与 源 地 址 和 目标 地 址 正好 相反 的 数据 包 相 [9R 














6-125 添加 新 规则 2 








CC 本 [CC 台 ] 


图 6-126 添加 新 规则 3 





E 图 
设置 IP 协议 iD 
国 从 任意 滑 口 F) 
js Dm 
图 到 任意 端口 0) 
全 到 HiDm) 











| me 





xX 7 也 商 及 如 向 来 保证 





知 选 器 操作 呈 ); 
名 称 
〇 新 第 选 器 所 作 



































图 6-127 添加 新 规则 4 


图 6-128 添加 新 规则 5 


(13) 单 击 “ 添 加 ”按钮 ,添加 一 个 新 的 筛选 操作 ,如 图 6-129 所 示 。 
(14) 单 击 “ 添 加 ”按钮 ,新 增 安全 方法 并 自 定义 安全 方法 ,如 图 6-130 所 示 。 


去 全 方法 党 规 达 





OW 
辐 阻 上 0 
加 协商 安全 0 
安全 方法 首 过 | 硕 序 人) 


安全 方法 
旧 完整 性 和 加 宕 E) 
传送 的 数据 移 被 加 密 ， 验 证 为 可 信 的 并 且 没 有 被 更 改 。 





类 型 





TI ; 


ees, 但 将 不 会 被 加 








国 接受 不 安全 的 通讯 ， 但 始 线 用 IPsec 响应 全) 
国 如 果 无 法 建立 安全 连接 ， 则 允许 | 


国 使 用 会 话机 外 完全 向 前 保密 FFS) 0 
































6-129 ”添加 新 规则 6 


6-130” 自 定义 安全 方法 1 
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(15) 选择 自动 以 安全 方法 ,选择 “数据 完整 性 和 加 密 (ESP) 完 整 性 算法 ”中 完整 性 算法 
和 加 密 算法 的 类 型 ,如 图 6-131 所 示 。 


(16) 单 击 “ 添 加 ”按钮 ,添加 安全 方法 ,如 图 6-132 所 示 。 





安全 方法 








咎 许可 中 
阻止 




















固 接 受 不 安全 的 通讯 ， 但 始 线 用 IPsee 响应 人 
固 如 果 无 法 建立 安全 连 扒 ， 则 允许 回 退 到 不 安全 的 通信 (1) 


固 使 用 会 话 密 名 完全 向 前 保密 97S) 00 




















CC |] EN 








图 6-131 自 定义 安全 方法 2 图 6-132 自 定义 安全 方法 3 


(17) 选择 新 建 的 筛选 器 操作 ,如 图 6-133 所 示 。 
(18) 打开 “身份 验证 方法 "选项 卡 ,添加 身份 验证 方法 的 顺序 ,如 图 6-134 所 示 。 














人 A | PR 
x eT dh 人 


争先 器 操作 全) 























身份 只 证 方法 首选 类 序 I) 
en 指示 方法 详细 信息 [0... ] 
es | [ED 
Q 新 注 先 器 报 作 








Lom ] 


上 移 们 


[Co 

















i 
ED 一 二 站 EEE 吕 




















6-133 ”筛选 器 操作 图 6-134 身份 验证 方法 1 


(19) 单 击 “ 添 加 ”按钮 ,在 “身份 验证 方法 ”中 ,选择 预 共 享 密 钥 ,并 输入 预 共享 密 钥 ,如 
图 6-135 所 示 。 


(20) 将 预 共享 密 钥 移 至 第 一 位 ,如 图 6-136 所 示 。 


(21) 在 “隧道 设置 ?选项 卡 中 , 单 击 “隧道 终结 点 由 此 IP 地 址 指定 ”, 输 入 IP 地 址 ,如 
图 6-137 所 示 。 


(22) 在 IP 入选 器 列表 中 , 勾 选 新 建 的 test, 如 图 6-138 所 示 。 





第 6 章 Windows 构筑 校园 网 服务 器 防火 墙 


135 








身份 验证 方法 








身份 验证 方法 指定 了 计算 机 间 如 何 建立 信任 











EE TE 











四 Te 





辕 Active Directory 默认 值 Kerberes 5 协议 ) 0) 
刁 使 用 由 此 证 书 久 发 机 构 CA) 舌 友 的 证 书 民 ) 


[Bo ] 





口 从 证 书 请 求 中 排除 CA 名 称 癌 
口 让 用 证 # 季 账户 的 击 射 瑟 ) 
加 使 用 此 字符 帅 ( 巴 共 享 灾 钼 ) G); 





be 





身份 验证 方法 首 坑 顺序 0) 
E 





























图 6-135 身份 验证 方法 2 











Th 条 迁 器 列表 | 入 这 器 操作 | 身份 办 证 方 寺 ] 院 首 设 轩 








= 








图 6-136 身份 验证 方法 3 


Ez! 





Be itn 


芋 安全 规则 TD): 
则 此 加 RQHT 指 定 IPsec 隧道 如 ) 下 项 寺 加 列 表 。。 第 选 器 操作 
鲜 月 道 终结 点 由 此 TP 地 址 指定 [1); 回 4est 
IPw4 隧道 此 结 点 口 hs> 
192.160.L13 
Tv6 随 道 经 结 点 : 


























EEC ED 口 他 
ED PE [CE 














6-137 ” 遂 道 设置 1 图 6-138 遂 道 设置 2 


(23) 指派 新 建 的 IP 安全 策略 ,如 图 6-139 所 示 。 


6.2.6 ”Windows 7 连接 安全 规则 
【实验 名 称 】 
Windows 7 连接 安全 规则 。 
【实验 日 的 】 
设置 Windows 7 防火 墙 ,实现 对 Windows 连接 安全 规则 的 配置 。 
【实验 设备 】 


一 台 装 有 Windows 7 操作 系统 ,并 且 可 以 连接 网 络 的 PC。 
【实验 原理 】 


连接 安全 包括 在 两 台 计 算 机 开始 通信 之 前 对 它们 进行 身份 验证 ,并 确保 在 两 台 计 算 机 
之 间 发 送 的 信息 的 安全 性 。 高 级 安全 Windows 防火 墙 使 用 Internet 协议 安全 (IPsec) 实现 
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文 #( 了 经 fF(A) ”查看 (V) 帮助 (H) 





和 中 | 证 园 | 其 回 世 | 四 本 | 这 垃 | 于 也 








名 称 

















6-139 新 派 新 建 的 IP 安全 策略 


连接 安全 ,方法 是 使 用 密 钥 交换 .身份 验证 ,数据 完整 性 和 数据 加 密 。 


【实验 步骤 】 
(1) 打开 “控制 面板 ”> 


系统 和 安全 ”>“Windows 防火 墙 ”", 如 图 6-140 所 示 。 





居 苦 # 赔 


使 用 Windows 防火 墙 来 帮助 保护 您 的 计算 机 











Windows 防火 时 助 于 防止 畦 看 或 和 全 软 从 通过 Internet 开 网 阁 访 问心 的 计算 机 . 
防火 卉 知 何 帮助 保护 计算 机 ? 
什么 旺 网 络 位 置 7 
更 防火 培 设 轩 
Windcws 防火 二 未 仙 用 从 守护 公交 保护 计算 | 
准 大 的 设置 有 要 7 
围 @ If(Smas(0) 已 连接 @ 
S30 道 且 信 任 的 用 户 和 设备 所 在 的 家 庭 或 工作 网 络 
Windows 防火 增 杖 坊 : 9 
伟 入 过 接 用 目 所 有 与 本 在 多 许 入 序列 到 中 的 生 序 的 连 党 
活动 的 家 让 或 工作 (专用 ) 网 络 : Bn Network 
于 0 万: Windows 防火 寺 则 上 新 程序 时 天 知 生 
国电 dens 已 连接 @ 
公共 场所 {人 M0 机 场 或 苯 冉 店 ) 中 的 网 络 
Windows 防火 过 杖 赤 : 关 辣 
传 入 连接 : 阻止 所 有 与 未 在 多 许 程序 列表 中 的 程序 的 连接 
活动 的 公 玫 网 洛 : i 
通知 状 杰 : Windows 防火 二 阳 止 务 程 序 时 焉 知 笑 


图 6-140 ”Windows 防火 墙 
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(2) 在 “Windows 防火 墙 ”界面 中 的 左 侧 , 有 “连接 安全 规则 ”选项 ,配置 一 个 安全 规则 ， 
如 图 6-141 所 示 。 





i i vim Hae- 





[3 
域 配置 文件 

加 nraovs 及 所 已 用 

人 用 上 5 下 ER 入 让 连接 

加 和 F 与 RICENSH 让 连接 。 

专用 配置 文件 是 活动 的 

二 inaoes 防火墙 已 关闭 。 

公用 配置 文件 是 活动 的 

和 Tino 防己 忆 关闭- 

加 eve 防 炙 二 属性 

和 D 

计算 机 之 间 的 身份 验证 通信 

Cai A 








[~ | 

查看 和 创建 防火 墙 规则 

a 
© Na 

© sland 


,二 看 当前 了 炎 增 以 及 TPaee 六 上 




















6-141 配置 


(3) 右键 单 击 “ 连 接 安全 规则 ”, 弹 出 菜单 , 单 击 “ 新 建 规则 ”命令 ,弹出 “新建 连接 安全 规 
则 向 导 ”, 选 择 “ 自 定义 ?规则 ,如 图 6-142 所 示 。 


























规则 类 型 
| 过 提要 人 | 键 的 连接 安全 规 风 li 类 型 。 
步 要 : 
二 二 您 要 创建 的 连接 安全 规 风 类 型 
昌 终结 点 
则 隔离 CD) 
要 下 限制 基于 身份 验证 条 件 的 连接 ， 如 域 成 员 身份 或 健康 状态 。 
日 身份 验证 方法 
3 日 免除 身份 验证 CD) 
号 协议 向 来 自 桂 定 计算 机 的 连接 不 进行 身份 验证 。 
Ee 日 服务 器 到 服务 器 G) 
ea 名 对 指定 计算 机 之 间 的 连接 进行 身份 验证 
日 许 首 () 
对 网 关 计算 机 之 间 的 连接 进行 身份 验证 。 
回 自 定义 5) 
自 定义 规则 。 
和 时间 和 方式 ， 但 这 些 规则 不 允许 连接 。 着 要 
| 








6-142 新建 规则 
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(4) 设置 终结 点 ,设置 为 “任何 IP 地 址 ”, 如 图 6-143 所 示 。 


在 计算 机 终结 点 1 和 终结 点 2 之 间 创 建安 全 连接 。 


终结 点 1 中 的 计算 机 
图 任何 IP 地 址 @) 
四 下列 理 地 址 加 ); 

















自 定义 应 用 此 规则 的 接口 类 型 - 
终结 点 2 中 的 计算 机 

图 任何 了? 地 址 0) 

加 下 列 班 地 址 00: 

















区 上 = 二 oj CEEm >] (Mm 





6-143 ”设置 终结 点 


(5) 设置 进行 身份 验证 的 时 间 , 选 择 “ 入 站 和 出 站 连接 请 求 身 份 验 证 ”, 如 图 6-144 
所 示 。 





图 6-144 ”进行 身份 验证 的 时 间 
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(6) 设置 身份 验证 方法 ,选择 “高 级 ”, 并 自 定义 配置 ,如 图 6-145 所 示 。 


身份 验证 方法 
指定 此 规则 匹配 的 连接 执行 身份 验证 的 方式 * 
步 机- 
要 使 用 的 身份 验证 方法 


号 规则 类 型 
全 黑 认 值 9) 
使 用 IPsee 设置 中 指定 的 身份 验证 方法 。 


司 计算 机 和 用 户 Kerberos Y5) CC) 
a 


户 信息 


司 计算 机 Kerberos v5) (0) 
其 活 按 进 行 通信 。 为 在 入 站 和 出 站 规则 中 向 特定 计算 


人 
加 高级) 
指证 自 定义 第 一 和 第 二 身份 验证 设置 ED 


ET | | 





图 6-145 身份 验证 方法 
(7) 设置 自 定义 高 级 安全 验证 方法 ,添加 验证 方法 ,如 图 6-146 所 示 。 


第 一 身份 验证 第 二 身份 验证 
0 

第 一 身份 验证 方法 外 ); 第 一 身份 验证 方法 GS); 

方法 其 他 信息 方法 其 他 信息 














En ET 区 | 
回 第 一 身份 验证 可 选 (I) 回 第 二 身份 验证 可 选 0D) 
和 中 存在 所 共享 几 钙 和， 不 能 指定 第 二 


Er 








[| 








图 6-146 自 定义 高 级 安全 验证 方法 
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(8) 添加 预 共享 密 钥 ,如 图 6-147 所 示 。 


选择 用 于 第 一 身份 验证 的 赁 据 : 

© 计算 机 erberos V5) 四 

© 计算 机 TUk2) 四 

各 来 自 下 列 证 书 售 发 机 构 CA) 的 计算 机 证 书 C): 
签名 算法 人 @) [RSA 可 I 认 ) 宙 


证 书 存 鱼 类 型 @): [| 根 CA BRHA) ~ 


] | 济 帮 四 … | 








口 只 接受 健康 证 书 名 
口 启用 证 书 到 帐户 时) 











图 6-147 预 共 享 密 钥 
(9) 添加 身份 验证 方法 , 单 击 “ 确 定 ” 按 钮 ,如 图 6-148 所 示 。 
人 机 身份 验证 方法 首 
第 一 身份 验证 方法 全) 


方法 其 他 信息 
祯 共享 的 密 钥 sbe 



































i] 








口 第 二 身份 验证 可 选 人 


同 第 一 身份 验证 可 选 YT) 
得 彼 从 认证 方法 别 表 中 存在 入 共享 富 外 叶 ， 不 能 指定 第 二 











CE |][ MW] 





6-148 ”身份 验证 方法 


(10) 设置 协议 和 端口 .这 里 选择 “任何 ”, 如 图 6-149 所 示 。 
(11) 设置 配置 文件 ,这 里 选择 “ 域 "“ 专 用 ”“ 公 用 ”, 所 有 网 络 都 应 用 此 安全 连接 规则 ， 


如 图 6-150 所 示 。 
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协议 和 端口 
指定 此 规则 应 用 的 协议 和 消 口 


此 规 刚 应 用 于 哪些 庙 口 和 协议 ? 


7 i): 
协议 号 0n: 





疼 结 点 1 端口 0 : 


终结 点 2 端口 C): | 所 有 端口 














示例 ; 和 、445、5000-5010 





6-149 协议 和 端口 







配置 文件 
指定 此 规则 应 用 的 配置 文件 


步骤 : 
六 规 内 型 何 B 应 用 该 规则 ? 


二 终结 点 














域 O) 
人 要求 计算 机 连接 到 其 企业 域 时 应 用 。 
协议 和 江口 回 专用 
和 配置 文件 计算 机 连接 到 专用 网 络 位 置 时 应 用 。 
二 名 称 公用 QD 
计算 机 连接 到 公用 网 络 位 置 时 应 用 。 

















6-150 ”配置 文件 
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(12) 完成 设置 ,看 到 连接 安全 规则 中 新 建 的 连接 安全 规则 ,如 图 6-151 所 示 。 























6-151 ”完成 设置 


第 7 章 Windows Server 2008 R2 
服务 器 的 安全 配置 


7.1 Windows Server 2008 R2 的 安装 


【实验 名 称 】 

Windows Sever 2008 R2 的 安装 。 

【实验 介绍 】 

Windows Server 2008 R2 是 一 款 服务 器 操作 系统 。 同 2008 年 1 月 发 布 的 Windows 
Server 2008 相 比 ,Windows Server 2008 R2 继续 提升 了 虚拟 化 、 系 统管 理 弹性 .网络 存 取 方 
式 , 以 及 信息 安全 等 领域 的 应 用 .其 中 有 不 少 功能 需 搭配 Windows 7。Windows Server 
2008 R2 重要 新 功能 包含 : Hyper-V 加 入 动态 迁移 功能 ,作为 最 初 发 布 版 中 快速 迁移 功能 
的 一 个 改进 ; Hyper-V 将 以 毫秒 计算 迁移 时 间 。Windows Server 2008 R2 是 第 一 个 只 提供 
64 位 中 文 版 本 的 服务 器 操作 系统 。 

【实验 设备 】 

硬件 要 求 如 下 。 

(1) CPU: 建议 2GHz, 最 好 3GHz 及 更 快 。 

(2) 内 存 : 建议 2GB RAM。 如 果 安 装 的 是 32 位 的 标准 版 ,最 多 支持 4GB 内 存 ; 如 果 
安装 的 是 64 位 的 标准 版 ,最 多 支持 32GB 内 存 ; 如 果 是 64 位 的 企业 版 或 者 数据 中 心 版 ,最 
多 支持 2TB 内 存 。 

(3) 磁盘 : 建议 40GB。 

【实验 步骤 】 

(1) 设置 光盘 启动 为 第 一 启 
开机 按 Delete 键 (一 般 情况 是 这 
样 ,也 有 个 别 品牌 存在 差异 ) 进入 
BIOS 设置 ,如 图 7-1 所 示 。 

(2) 选择 Boot( 启 动 项 ) 菜 单 . 选 
择 CD-ROM. 如 图 7-2 所 示 。 

(3) 设置 CD-ROM 为 第 一 启动 
项 ,如 图 7-3 所 示 。 

(4) 按 F10 键 保存 退出 , 如 
图 7-4 所 示 。 

(5) 安装 系统 。 按 照 提示 ,选择 
默认 配置 ,如 图 7-5 所 示 。 图 7-1 BIOS 设 置 1 


Susten Tine: 
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CD-ROM Drive 





图 7-2 BIOS 设置 2 


(a 





7-3 BIOS 设置 3 


Ch-ROM Drive 





Setup Confirnation 


Save conf iguration changes and exit now? 


hes mo 








图 7-4 BIOS 设置 4 
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正在 安装 由 ndoms. 


目 站 = 委 要 从 站 信息 * 志江 过 各 中 计算 机 可 能 秋 术 和 大 - 


Winns zf 
展开 msaens 文件 zz 
和 
二 
Re 





图 7-5 安装 系统 1 
(6) 计算 机 重新 启动 后 自动 安装 ,如 图 7-6 所 示 。 





图 7-6 安装 系统 2 
(7) 计算 机 自动 安装 所 需 功 能 ,如 图 7-7 所 示 。 


正在 安装 出 ndows. 


由 阴 折 科大 要 这些 信息 。 安 半 过 旭 二 计算机 可 樟 新 启 风 抽 从 





图 7-7 安装 系统 3 
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(8) 计算 机 再 
所 示 。 


新 启动 ,重启 后 计算 机 会 为 系统 第 一 启动 使 用 默认 配置 ,如 图 7-8 


ba 
hm 


























图 7-8 安装 系统 4 


(9) 安装 完成 后 ,进入 系统 界面 ,如 图 7-9 所 示 。 


人 正在 准备 桌面 … 





图 7-9 安装 系统 5 


(10) Windows Server 2008 R2 默认 的 桌面 上 只 有 回收 站 图 标 ,如 图 7-10 所 示 。 


EE 
图 7-10 安装 系统 6 
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7.2 网 络 安全 配置 


7.2.1 网 络 的 安全 检测 


【实验 名 称 】 
网 络 的 安全 检测 。 
【实验 原理 】 
日 命令 行 的 方式 ,检测 系统 打开 的 程序 。 
【 实验 设备 】 
一 台 装 有 Windows Server 2008 R2 系统 
的 计算 机 。 
【实验 步骤 】 
(1) 在 “运行 "对话 框 中 输入 “cmd”, 如 
图 7-11 所 示 。 
(2) 在 cmd. exe 程序 下 输入 “netstat -an”， | | E72 ml= 
根据 端口 判断 系统 开启 了 哪些 程序 ,如 图 7-12 图 7-11 输入 命令 
所 示 。 





































seora Adninistrator netstat -mm 







LISTENING 





{1:8 LISTENING 


LISTEMING 





mpP sz]z4599 


FF: sere ndninistrator> 





sm 为 可 司 岛 | 本 


图 7-12 查看 


7.2.2 Web 网 络 安全 的 配置 


【实验 名 称 】 
Web 网 络 安全 的 配置 。 
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【实验 日 的 】 

发 布 一 个 安全 的 Web 网 站 。 

【实验 设备 】 

一 台 装 有 Windows Server 2008 R2 系统 的 计算 机 。 

【实验 原理 】 

通过 对 用 户 权 限 的 设置 ,确保 Web 网 站 的 安全 。 

【实验 步骤 】 

(1) 在 “开始 ”菜单 中 选择 “管理 工具 ”, 打 开 “ 服 务 器 管理 器 ”, 如 图 7-13 所 示 。 








让 下 看 安装 在 服 盘 井上 阴 包 和 9 运行 拓 兄 ， 以 及 漂 加 长 了 (出 基 和 功 卫 > 


~ 角色 预 要 四 me 提要 本埠 
习 角 色 : 已 安装 1 个 哄 17 个 ) 二 0 网 巴 
A EL 


~ 运程 各 而 局 务 5 得 秽 而 服务 表 助 
提供 启用 对 运行 基于 Windows 的 垦 序 63 月 秀 加 或 司 个 Yi dvw* 成 面 过 行 访 19B3 技 术 * 
广角 色 状 态 











图 7-13 服务 器 管理 器 
(2) 添加 “角色 ”, 单 击 “ 下 一 步 ” 按 钮 ,如 图 7-14 所 示 。 








< 上 上 和 四 | mn 





图 7-14 添加 角色 向 导 1 
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(3) 选择 “Web 服务 器 (IIS)”, 单 击 * 下 一 步 ? 按 钮 ,如 图 7-15 所 示 。 





选择 要 安 革 在 此 服务 乱 上 的 一 个 或 各 个 角色 
崩 色 加) 





图 Mctive Directory Bichts Nenacement Serricer 


<tory 联合 身份 输 证 服务 





ctsm FEm] 2 | mn 


图 7-15 添加 角色 向 导 2 


(4) 添加 角色 ,出现 ”" Web 服务 器 (IIS) 简 介 ”, 单 击 " 下 一 步 "按钮 ,如 图 7-16 所 示 。 


堪 加 角色 向 号 


路 Web 服务 器 (IIS) 


Ei 服务 器 (TIS) 简介 


a 
pen IIS 7.0 


Communi cation 
了 eundation eb 平台 * IIS 7.0 


i ee 系统 资源 管理 器 S54) 有 助 于 确保 等 同 对 待 Yeb 服务 器 前 信 ， 特 别 是 此 计算 机 上 存 
5 i 您 能 用 、 进行 最 小 


《上 - 步 中) a 取消 








图 7-16 添加 角色 向 导 3 
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(5) 选择 角色 服务 ,在 “Web 服务 器 ”前 打 勾 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 7-17 所 示 。 


>》 选择 角色 服务 中 








7-17 添加 角色 向 导 4 
(6) 在 确认 界面 中 , 单 击 “下 一 步 按 钮 ,如 图 7-18 所 示 。 





7-18 添加 角色 向 导 5 
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(7) 安装 进度 的 界面 ,如 图 7-19 所 示 。 


Web 服务 各 CIS) 





图 7-19 添加 角色 向 导 6 


(8) 安装 完成 后 , 单 击 “关闭 ?按钮 ,如 图 7-20 所 示 。 


区 1 条 区 告 消息 程 示 如 下 

让 形 自 用 47 5. 自动 里 新 ” 为 确保 自动 新 最 信安 革 的 同色 或 功能 ， 请 启用 “控制 面板 ”到 
人 web 服务 器 CTTS) 您 安装 反攻 

已 安装 以 下 角色 服务 

Yeb 服务 加 





到 


Esn| To [Law ] ms | 





图 7-20 完成 
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(9) 返回 “服务 器 管理 器 ”的 界面 ,如 图 7-21 所 示 。 


尼 服务 品 管 理 咯 





















服务 回 管 理 圳 (YIN-1DS11SJWEEJ) 


加 获取 有 关 此 服务 器 状态 的 概述 ， 执 行 首要 管理 任务 ， 并 添加 或 陨 | 余 服务 器 角色 和 功能 





I Wm 
让 党 到 从 未 安装 


本 这 38 i 打开 


六 角色 摘要 有 角色 摘要 帮助 
习 角 色 : 已 安装 1 个 共 17 个 ) 序 苇 到 启 色 
种 hnm 色 
Yab 服务 器 IIS) Ee 
全 功能 摘要 功能 摘要 帮助 
习 功 能 : 已 安装 1 个 共和 2 个 ) 醒 添加 中 胰 到 


YY 上 次 出 BW 时 间 : 今天 13;16 配置 刷新 





图 7-21 服务 器 管理 器 


(10) 在 左 侧 的 控制 台中 ,展开 “角色 ”>“Web 服务 器 (IIS)”, 单 击 “Internet 信息 服务 
(IIS)”, 如 图 7-22 所 示 。 

















|= & © :Pb ail 





图 7-22 IIS 设 置 1 
(11) 布 键 单 击 “ 网 站 ”, 选 择 “ 添 加 网 站 ”命令 ,如 图 7-23 所 示 。 


(12) 输入 网 站 名 称 . 指 定 物理 路 径 , 指 定 IP 地 址 、 端 口 (网 站 名 称 、 物 理 路 径 、IP 地 址 、 
端口 是 根据 实际 情况 由 自己 定义 ), 单 击 “ 确 定 ” 按 钮 .如 图 7-24 所 示 。 








第 7 章 Windows Server 2008 R2 服务 器 的 安全 配置 153 





也 服务 器 管理 器 
日 伏 角色 
日 克 eb 服务 器 CS) 
Eh | 


诊断 
配置 








7-23 IIS 设置 2 





=|D| | 


未 加 网 站 Es | 


Fw 同 
这 为 .| 到 # 设 村 口 .| 


Fx hewims 可 








图 7-24 JIS 设置 3 
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(13) 在 “服务 器 管理 器 "中 ,看 到 刚刚 添加 的 SSPU Web 服务 ,如 图 7-25 所 示 。 
尼 服务 器 管理 器 
文件 中 操作 和 可 看 帮助 00 
和 哆 | 为 加 | 
[rr 
日 鲍 角色 
日 苇 Yeb 服务 器 0TS) 
四 Internet 信息 服务 0 
国 功 | i 
Ei @ SSPU 主页 FE 
ee 起 疡 页 = 岳阳 
WII-IDISIISJWREJ QIN-1DS11 Pe 
1 编辑 网 站 
细 证 
由 国 Detmalt Yeb Site ] 坏 辐 县 本 设置 … 
Sy wr Rts a 喜 看 应 用 程序 
查看 虚拟 目录 
管理 网 站 9) 
人 重新 自动 
}》 启动 
加 停止 
浏览 网 站 
司 加 入 区 168. 108, 45:80 
高 名 设置 
Ci | 
= 








图 7-25 IIS 设 置 4 


(14) 单 击 SSPU ,在 右 侧 的 “操作 ”界面 中 , 单 击 " 基 本 设置 ”, 弹 出 对 话 框 ,打开 “安全 ” 选 
项 卡 , 如 图 7-26 所 示 。 


EE 
文件 F) 操作 查看 0) 那 助 00 
钊 只 | 为 I 丰 | 卓 


服务 器 管理 器 QWIN-1DS11SJHWRE 
日 瑚 角色 
日 傅 veb 服务 器 as) 
由 区 Internat 信息 服务 0 























A 编辑 权限 
WIN-1DSLLSJMRET 0TH-1 编 加 网 
嫩 应 用 程序 邮 .| 
日 国 网 6 卿 定 

由 9 Defuult Web Site . F 国 基本 设置 


查看 应 用 程序 
查看 虚拟 目录 
管理 网 站 
他 重新 启动 
启动 
停止 





























图 7-26 IIS 设置 5 
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(15) 在 “组 或 用 户 名 ”中 , 单 击 “ 编 辑 ” 按 钮 ,如 图 7-27 所 示 。 





文件 中) 可 作 抽 查看 W) 帮助 00 

















证 角色 

日 态 reb 服务 器 Ts) 
可 0 
荣 刘 | 共享 。 安全 | 出 的 啤 本 | 自 定 X| 


a 四 | 施 | 久 对 象 名 称 :Ci\inetpob 

外 YIN-1DS11SJWREJ 0 | 站 或 用 户 各 
寻 应 用 程序 也 

日 主 网 站 
田 仿 Defaut teb ES userSsPV WIN- LDS11SINEEJ\eserSSPY) 
a@md i i 











7-27 IIS 设 置 6 


(16) 可 以 修改 每 个 用 户 的 权限 ,也 可 以 删除 用 户 、 添 加 用 户 , 单 击 “ 添 加 "按钮 ,如 图 


所 示 。 





7-28 




















中 STSTE 
忆 userssPy mWDFIIS1ISJWREJYaserssPU) 


妃 Atninistrators MD1DS11SJUEEJVAininistrators、 


车 Vsers (WIN-1DSI1SJNREJ\Users) | 
mm |_ MWe | 





区 许 
口 
口 
口 
| 
口 


























图 7-28 用 户 权限 1 
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(17) 单 击 “ 高 级 ”按钮 ,如 图 7-29 所 示 。 





图 7-29 用 户 权限 2 
(18) 单 击 * 立 即 查找 ”按钮 ,选择 用 户 userSSPU, 如 图 7-30 所 示 。 





图 7-30 用 户 权限 3 


(19) 单 击 “ 确 定 ” 按 钮 ,如 图 7-31 所 示 。 
(20) 在 权限 列表 中 ,可 以 修改 用 户 的 权限 。 需 要 赋 给 用 户 什么 权限 就 在 权限 前 打 勾 。 
单 击 “确定 ”按钮 ,如 图 7-32 所 示 。 
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让 Aininistrators ODIDSISINRET\Adninistrators | 
y Ds11S MEET Wsers) 





图 7-32 用 户 权限 5 
(21) Web 服务 器 配置 完成 ,如 图 7-33 所 示 。 


7.2.3 FTP 网 络 安全 的 配置 
【实验 名 称 】 
FTP 网 络 安 全 的 配置 。 
【实验 日 的 】 
实现 文件 传输 的 安全 。 
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二 服 务 加 窟 理 吕 TLDS11S RE 
日 她 角色 
日 区 fsb 服务 器 osS) 







































































日 大 Internet 信息 服务 0 
加 本 功能 
加 
起 栓 页 编辑 权限 
旦 镶 大 和 时 mrlmsllsmmer oor J 
半 应 用 程 订 也 编辑 网 站 
日 国 网 站 镜 定 , 
电 8 Yeb Site 竣 园 二 本 设 和 
Pr NE 天 型 查看 应 用 程序 
; EL 
入 乔 名 重新 启动 可 
= pe 
图 停止 
错误 页 模块 唱 力 洲 扣 168. 108. 45:80 
mo sm 高 级 设置 
1 ol 国 圈 视图 ] 内容 视 图 一 
= I [ 
图 7-33 配置 完成 


【实验 设备 】 

一 台 装 有 Windows Server 2008 R2 系统 的 计算 机 。 

【实验 原理 】 

通过 对 用 户 权 限 的 设置 ,确保 FTP 站 点 的 安全 。 

【实验 步骤 】 

(1) 在 “开始 "菜单 中 单 击 “ 管 理工 具 ”, 打 开 * 服 务 器 管理 器 ”, 如 图 7-34 所 示 。 








区 守 看 宁 在 服务 基 上 侧 色 的 这 他 拓 台 以 县 天 加 融和 入 色相 联 


角色 要 要 [Te 
避 角 色 : 于 1 个 殿 1 个 ) So 
Es 


“次 大 突 而 局 秀 B saamsn nn 
提供 让 用 对 运行 基 于 hats 的 各 鹤 各 务 各 个 Yindev 商 下 进行 访 /38 车 本。 
富 角 们 扩 太 三 本 天 用 


无 
各 主 部 正在 二 站 
事件 -最近 24 4 抽 无 


Me 


OY LA $F 20 19 EM 














图 7-34 FTP 配置 1 
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(2) 添加 “角色 ”, 单 击 “ 下 一 步 ” 按 钮 ,如 图 7-35 所 示 。 








|| le ee 


图 7-35 FTP 配置 2 


(3) 选择 Web 服务 器 (IIS)”, 单 击 “ 下 一 步 ” 按 钮 ,如 图 7-36 所 示 。 


Pia 文件 用 务 
汪 隐 和 访问 服务 


得 名 





< 上 -oj 下 -四 Sr i 


||PL 





图 7-36 FTP 配置 3 
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下 一 步 ” 按 钮 ,如 图 7-37 所 示 。 





(4) 添加 角色 ,出 现 “Web 服务 器 (IIS) 简 介 ”, 间 





ETEEB 


规 Web 服务 器 (IIS) 


eb 服务 骂 crs) 简介 


be 
Ei 


Tt 7 TS) 和 DO, 
Ee 
ort NE 


注意 事项 
加 和 Si ide 不 红 次 天 亿 轩 法 NSIN) 有 助 于 确保 等 相符 Th 服务 加 通信 ， 特 列 是 此 计算 机 上 存 


i、 进行 最小 








< 上 天) Ee 取消 





ll eas [ealelsh PY sam 
图 7-37 FTP 配置 4 


(5) 选择 角色 服务 , 勾 选 *FTP 服务 器 " 复 选 框 , 单 击 "下 一 步 "按钮 ,如 图 7-38 所 示 。 





选择 角色 服务 


选 笑 为 +b 服务 吕 Ts) 安装 的 角色 服务 - 
角色 服务 ) 


日 页 ve 局 各 





日 芭 ra 拓 








“Esm [Em] ss | mw 





图 7-38 FTP 配置 5 


第 7 章 Windows Server 2008 R2 服务 器 的 安全 配置 161 








“下 一 步 ” 按 钮 ,如 图 7-39 所 示 。 





人 
有 
下 
大 
和 
于 
mv 








车 要 支 站 以 下 币 色 、 币 色 靶 务 或 功 酉 ,请 单 击 “ 支 装 ”* 
四? 条 提示 性 清 写 导 示 如 下 
国 雪 甘 完成 之 后 ， 可 入 委 要 重新 启动 这 服务 于 * 


全 We 县 务 各 O05) 
DB 人 C7 攻 用 情史 9 主人 








EB0) | Tm 





lo EEC 
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(7) 安装 进度 的 界面 ,如 图 7-40 所 示 。 


正在 安装 以 下 角色 、 谣 色 原 务 或 功能 
Neb 服务 器 CIS) 




















到 || 西 I | 本 可 日 已 二 @ sm 


图 7-40 FTP 配置 7 
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(8) 安装 完成 后 , 单 击 “关闭 ?按钮 ,如 图 7-41 所 示 。 





添加 角色 向 导 


' 脸 安装 结果 


已 了 中 安村 以 下 向 色 、 角色 服务 或 中 能 
直上 条 区 二 下 得 示 如 下 





新 。 为 注 保 自动 更 新 最新 安装 的 负 色 或 功能 ， 清 咎 用 “控制 面板 ”到 


图 7-41 FTP 配置 8 


(9) 返回 “服务 器 管理 器 "的 界面 ,如 图 7-42 所 示 。 





ETEEEES 
文件 加 操作 查看 W) 帮助 00) 























彬 一 一 一 一 
HE 从 未 安装 


亚 增 员 9 雪 全 本 。 为 Mninistrator 打开 
0) 为 用 户 打开 


人 角色 摘要 
四 角色 : 已 安装 1 个 殿 17 个 ) 
Yeb 服务 器 IS) 


人 功能 摘要 


习 功 能: 已 安装 1 个 供 民 个 ) 
人 上 次 届时 间 : 今天 13:18 配置 刷 新 





角色 摘要 帮助 
ES 


和 一 添 in 角色 
总 册 $ 角 色 


功能 六 要 帮助 
栈 活 加 起 能 


LL SJERZJ) 


加 获取 有 关 此 服务 器 杖 态 的 概述 ,执行 首要 管理 任务 ， 并 添加 或 删除 服务 器 角色 和 功能 。 











图 7-42 FTP 配置 9 
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(10) 在 左 侧 的 控制 台中 ,展开 “角色 ”>“Web 服务 器 (IIS)”, 单 击 “Internet 信息 服务 
(IIS)”, 如 图 7-43 所 示 。 














a Bg) 





= 一 一 pp 这 六 至 骨 加 
TI 1 二 
这 至 人 用 入 


已 台风 5 新 闻 ， 清单 十 “启用 Ts 新闻 ”色拉 以 其 再 最 新 联机 新闻 














es==E 


J I [HIT 


图 7-43 FTP 配置 10 


(11) 右键 单 击 “ 网 站 ”, 选 择 “ 添 加 FTP 站 点 ”命令 ,如 图 7-44 所 示 。 









ES 
文件 FP) 操作 以) 查看 W) 帮助 00 
和 哆 | 习 | 四 | 加 

到 服务 器 管 理 器 DFInDS11STVEE 


日 














Internet 信息 服务 (CIS) 管 理 吉 
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田 国 能 EL 

经 oy @ Ss 

日 回放 性 IH-1DSL1STHRET Re 

嫩 应 用 程序 也 全 添加 PT 站 点 

号 pr n 设置 FTP 站 点 默认 值 ，- 
知 友 助 





联机 帮助 
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(12) 输入 FTP 站 点 名 称 , 指 定 物理 路 径 , 单 击 “ 确 定 ” 按 钮 ,如 图 7-45 所 示 。 
(13) 为 FTP 站 点 绑 定 IP 地 址 ,选择 SSL 认证 为 “无 ”( 如 果 选 择 “ 允 许 ”, 需 要 安装 CA， 
即 电 子 认证 授权 ) ,如 图 7-46 所 示 。 
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图 7-46 FTP 配置 13 
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(14) 选择 身份 验证 、 人 允许 访问 的 对 象 , 权 限 ,如 图 7-47 所 示 。 





nw | Tm|[ 





7-47 FTP 配置 14 


(15) 在 服务 器 管理 器 中 ,看 到 刚 添 加 的 SSPU FTP 服务 ,如 图 7-48 所 示 。 





图 7-48 FTP 配置 15 


(16) 单 击 SSPU ,在 右 侧 的 “操作 ”界面 中 , 单 击 " 基 本 设置 ”. 弹 出 对 话 框 ,打开 “安全 ” 选 
项 卡 ,如 图 7-49 所 示 。 
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(17) 更 改组 或 用 户 名 ”的 权限 , 单 击 “ 编 辑 ” 按 钮 ,如 图 7-50 所 示 。 


文件 操作 各 查看 MW 才 助 00 














服务 器 管理 器 (IN-17sl1sJueE 世人 轩 呈 时 于 中] 上 
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读 取 





图 7-S0 FTP 配置 17 


(18) 在 权限 修改 的 界面 中 ,可 以 修改 每 个 用 户 的 权限 ,也 可 以 删除 用 户 、 添 加 用 户 ， 





“添加 ”按钮 .如 图 7-51 所 示 。 


= 
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@ 添加 FTP 站 点 
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I 
亿 
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文件 中 ”操作 人) 查看 帮助 00 
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况 Users QFIIDS11STWRETUsers) 
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修 次 
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图 7-51 FTP 配置 18 


(19) 单 击 “ 高 级 ”按钮 ,如 图 7-52 所 示 。 


文件 操作 查看 W 帮助 00 
申办 | 鸭 | 四 | 卓 
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| | 因 = 介 | 赔 - 
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日 大 Web 服务 器 CIS) 
中 区 Internet 信息 服务 0 
功能 
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谋取 和 执行 
列 出 文件 夫 内 容 
访 取 
到 
Es 





图 7-52 FTP 配置 19 


(20) 单 击 “ 立 即 查 找 ” 按 钮 ,选择 用 户 userSSPU ,如 图 7-53 所 示 。 
(21) 在 “组 或 用 户 名 ”列表 里 ,看 到 userSSPU 用 户 , 如 图 7-54 所 示 。 





168 防火 墙 技术 及 应 用 实践 教程 





选择 用 户 或 组 


WIN-1DSL1ST. 


IN-1DSLIST. 


TIN-1DS11ST. 








Administrators 全 TIN-1DS11SJWMEEJVAdninistrators 
Users DFIDSIISTUREJVUsers) 
中 TrustedInstaller 
2 





图 7-54 FTP 配置 21 
(22) 在 权限 列表 中 ,可 以 修改 用 户 的 权限 。 需 要 赋 给 用 户 什么 权限 就 在 权限 前 打 勾 。 


单 击 “ 确 定 ” 按 钮 ,如 图 7-55 所 示 。 
(23) FTP 服务 器 配置 完成 ,如 图 7-56 所 示 。 
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已 服务 器 管理 中 
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图 7-56 FITP 配置 23 
远程 桌面 的 安装 与 安全 配置 
【实验 名 称 】 
远程 桌面 的 安装 与 安全 配置 。 
【实验 日 的 】 
开启 远程 桌面 功能 ,通过 设置 为 远程 桌面 提供 安全 的 保障 。 
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【实验 设备 】 

一 台 装 有 Windows Server 2008 R2 系统 的 计算 机 ,一 台 用 于 测试 的 计算 机 。 
【实验 原理 】 

利用 Windows 系统 内 置 的 安全 通道 ,对 远程 桌面 进行 管理 和 配置 。 
【实验 步骤 】 


(1) 进入 “服务 器 管理 器 ”, 单 击 角 色 ” 选 项 ,如 图 7-57 所 示 。 






固 角色 : 已 安 法 0 十 哄 IT 个) 


ES 
ne 
Se 
辐 功 医 : Bo 个 殿 全 个 ) rm 
枉 97 
协 过 移 加 容 户 体验 改 蔷 计划 FET7) 有 助 于 完备 Yiwdev。 Servwr 的 性 能 a eh com 
将 个 隔 概 千 凰 mi cresoft 并 通过 打开 insors 铺 训 报告 示 筷 了 划 风 问题 各 方案” 本 打开 mad 二 及 报 贞 
有 Hindevs Server 的 村 水 这 大， 其 中 旬 括 和 导 帮 助 、 指 南 、 风 三 笑 以 及 工具 。 inde seve TodConter 
二 过 联机 社区 油 和 与 其 他 出 crosofr 窜 户 联系 Winter serv EO 加 





于 | CY 上 BW 总 天 22 各 本 时 所 


7-57 远程 桌面 配置 1 
(2) 出 现 * 添 加 角色 向 导 ” 界 面 , 如 图 7-58 所 示 。 


韦 : 开始 之 前 





图 7-58 远程 桌面 配置 2 


第 7 章 Windows Server 2008 R2 服务 器 的 安全 配置 171 





(3) 显示 “选择 服务 器 角色 ”界面 ,选择 “远程 桌面 服务 ”, 如 图 7-59 所 示 。 





图 7-59 远程 桌面 配置 3 
(4)“ 远 程 桌面 服务 ”的 介绍 界面 如 图 7-60 所 示 。 





图 7-60 远程 桌面 配置 4 


(5) 在 “添加 角色 服务 ”界面 中 ,在 角色 服务 中 选择 “远程 桌面 会 话 主 机 ”, 如 图 7-61 
所 示 。 
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图 7-61 远程 桌面 配置 5 


(6) 在 安装 远程 桌面 程序 之 前 ,需要 印 载 与 它 不 兼容 的 程序 ,在 印 载 之 后 系统 会 自动 重 
新 安装 ,解决 兼容 性 问题 ,如 图 7-62 所 示 。 





图 7-62 远程 桌面 配置 6 
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(7) 指定 授权 模式 , Windows Server 2008 R2 是 服务 器 系统 , 它 可 以 作为 交互 式 的 验 
证 ,所 以 要 给 它 指定 授权 模式 ,以 实验 为 目的 ,选择 默认 值 ,如 图 7-63 所 示 。 


语 sesewsx 





7-63 ”远程 桌面 配置 7 


(8) 为 此 服务 器 选择 会 话 的 用 户 或 用 户 组 ,选择 默认 (或 者 单 击 “ 添 加 ”按钮 ,选择 其 他 
的 用 户 或 用 户 组 ) ,如 图 7-64 所 示 。 


上 选择 允许 访问 此 RD 会 话 主机 服务 器 的 用 户 组 





图 7-64 远程 桌面 配置 8 
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(9) 配置 客户 端 体验 ,在 远程 时 会 用 什么 方式 交互 ,选择 默认 值 ( 即 什么 都 不 选 ), 如 
图 7-65 所 示 。 





图 7-65 远程 桌面 配置 9 
(10) 确认 安装 选择 界面 如 图 7-66 所 示 。 





7-66 ”远程 桌面 配置 10 
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(11) 安装 进度 界面 如 图 7-67 所 示 。 
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(12) 安装 完成 ,如 图 7-68 所 示 。 
ED 


ns 
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(13) 安装 完成 后 ,系统 需要 重启 , 单 击 * 是 ”按钮 ,立即 重启 ,如 图 7-69 所 示 。 
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(14) 系统 重启 后 ,出 现 安装 结果 , 单 击 “ 关 闭 ? 按 钮 ,如 图 7-70 所 示 。 


机 
让: 有 比 人 主权 上 的 ides 有 。 


Fr 
人 各 生生 可 
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区 
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(15) 使 用 另外 一 台 机 器 进行 测试 ,打开 远程 桌面 连接 的 界面 ,输入 服务 器 的 IP 地 址 ， 
单 击 “ 连 接 ” 按 钮 ,如 图 7-71 所 示 。 





对 





计算 机 C): BNE 


用 户 名 。 未 指定 
当 您 连 按时 将 向 您 鹿 问 任 据 。 





国 进而 中 
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(16) 需要 安全 认证 ,输入 用 户 名 、 密 码 , 如 图 7-72 所 示 。 
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(17) 出 现 提示 ,需要 安装 远程 桌面 的 证 书 , 单 击 “是 ”按钮 ,如 图 7-73 所 示 。 


租 府 束 诗 西 ， 因此 远程 计算 机 无 法 通过 身份 验证 。 继 续 操 
证 书 名 称 
国 来 自 远程 计算 机 的 证 书 中 的 名 称 
TH- 3PITTHLTGSL 
证 书 错误 
验证 远程 计算 机 的 证 书 时 旭 到 下 列 腊 误 : 


A 证书 来 自 不 信任 的 证 书 验证 机 构 > 


你 想 演 扩 2 元 程 旧 面 而 外 路 这 些 证 书 注 呈 ? 
| 下 未 丙 昌 癌 我 是 否 和 接 到 此 计算 机 吕 ) 
ET 
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(18) 在 “证 书 ” 对 话 框 中 , 单 击 “ 安 装 证 书 ” 按 钮 ,如 图 7-74 所 示 。 


荣 规 。 [信息 | 证 8 径 | 




















多 证 书信 息 


EE 硬 sa 








颌 发 给 : YINF3PINTHLTG5L 


颁发 者 : 。 YDF3PIDTHLTGSL 


有 效 期 从 2014/ 6/ 2 到 2014/ 12/ 22 





ER 有 ET 





EE 





图 7-74 远程 桌面 配置 18 





(19) 单 击 “ 安 装 证 书 ” 按 钮 后 ,出 现 “ 证 书 导 和 向导” 界面, 单 击 “ 下 一 步 " 按 钮 ,如 图 7-75 
所 示 。 

















~ 
刘 册 “| 








Pen 
馈 


单 击 “ 下 一 步 ” 继 绿 。 
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(20) 证 书 从 服务 器 中 下 载 后 ,要 导入 到 本 机 的 浏览 器 中 ,需要 指定 存放 的 区 域 , 在 这 里 
选择 "根据 证 书 类 型 ,自动 选择 证 书 存储 ”, 单 击 " 下 一 步 "按钮 ,如 图 7-76 所 示 。 























证 书 存储 
证 书 存 凡是 保存 证 书 的 系统 区 域 。 





得 ndows 可以 自动 选择 证 书 存储 ， 或 者 您 可 以 为 证 书 指定 一 个 位 置 。 


图 根据 证 书 大型， 自动 选择 证 书 存 笠 中 
则 将 所 有 的 下 书 沁 入 下 列 存 竺 下) 


存续， 























上 - 步 吕 | 大 一步 吕 
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(21) 证 书 安装 完成 ,如 图 7-77 所 示 。 











正在 完成 证 书 导入 向 导 


单 击 “ 完 成 ”后 将 导入 证 书 。 
您 已 指定 下 列 设置 




















图 7-77 远程 桌面 配置 21 


180 防火 墙 技术 及 应 用 实践 教程 








(22) 单 击 “ 完 成 ”按钮 后 ,系统 就 会 自动 进入 服务 器 ,如 图 7-78 所 示 。 





正在 设置 以 下 对 象 的 个 性 化 设置 : 


Web Platform Custonirations 
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(23) 进入 服务 器 桌面 ,如 图 7-79 所 示 。 





图 7-79 远程 桌面 配置 23 


(24) 打开 “服务 器 管理 器 ”, 打 开 “ 远 程 桌 面 服务 管理 器 ”, 可 以 看 到 当前 与 这 台 服 务 器 
会 话 的 用 户 , 如 图 7-80 所 示 。 


第 7 章 Windows Server 2008 R2 服务 器 的 安全 配置 181 
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7.3 ”Windows Server 2008 R2 自 带 防火 墙 的 配置 


7.3.1 自 带 防 火 墙 的 基本 设置 
【实验 名 称 】 
自 带 防 火 墙 的 基本 设置 。 
【实验 日 的 】 
熟练 掌握 Windows Server 2008 R2 系统 内 置 的 防火 墙 。 
【 实验 设备 】 
一 台 装 有 Windows Server 2008 R2 系统 的 计算 机 。 
【 实验 步骤 】 


(1) 打开 “控制 面板 "里 的 “Windows 防火 墙 ” , 单 击 左 侧 栏 中 的 “打开 或 关闭 Windows 
防火 墙 " ,如 图 7-81 所 示 。 





Ee 





























Ea | RE 
9 
控制 而 板 主 页 使 用 Yindows 防火 场 来 帮助 保护 您 的 计算 机 
nd 二 于 防守 Toteront 区 0 计 机。 
多 防 炙 增 如 部 助 保护 计算机 ? 
国 更 收 通 知 设置 什么 是 网 六 位 置 ? 
罗 打开 或 关闭 Windors 防火 寺 四 EE 未 连接 加 | 
凤 过 Bi 于 
加 i 回忆 Amsow EN 
WM 公共 场所 生机 志和 时 入] 中 8 
Windors 防火 寺 状 态 启用 
传 入 演 接 阻止 所 有 与 未 在 爷 许 程 怕 列 志 中 的 程序 的 连 撞 
活 地 公 用 网 络 末末 加 9 家 锐 
i 通知 枯 杰 Yindews 防火 阻止 新 程序 时 不 要 通知 我 
操作 中 心 
肝癌 和 共享 中 心 


图 7-81 自 带 防火 墙 主 设置 1 
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(2) 在 “ 自 定义 设置 ”面板 中 ,可 以 自 定义 防火 墙 的 启用 和 关闭 ,如 图 7-82 所 示 。 








| | 








自 定义 每 种 类 型 的 网 络 的 设置 

您 可 以 修改 您 所 使 用 的 每 种 类 型 的 网 络 位 置 的 防火 墙 设置 。 
什么 是 网 络 位 置 ? 

家 庭 或 工作 (专用 ) 网 络 位 置 设置 


个 启用 Windows 防火 墙 
万 阻止 所 有 传 入 连接 ， 包 括 位 于 允许 程序 列表 中 的 程序 
厂 Windows 防火 墙 阻止 新 程序 时 通知 我 


x) C 关闭 Windows 防火 墙 不 推荐 ) 
公用 网 络 位 置 设置 
合 启用 Winaows 防火 墙 
万 阻止 所 有 传 入 连接 ， 包 括 位 于 允许 程序 列表 中 的 程序 
记 Windows 防火 墙 阻止 新 程序 时 通知 我 


[<) 人 关闭 Yindows 防火 墙 不 推荐 ) 





图 7-82 自 带 防火 墙 主 设置 2 
(3) 单 击 左 侧 栏 中 的 “允许 程序 或 功能 通过 Windows 防火 墙 ", 如 图 7-83 所 示 。 


GO 和 全 inions 防 壕 ”| 厂 扫 雪 过 市面 本 











控制 面板 主页 使 用 Windows 防火 墙 来 帮助 保护 您 的 计算 机 
i Windows 。。 Yindews 防火 墙 有 助 于 防止 黑客 或 恶意 软件 通过 Internet 或 网 络 访问 您 的 计算 机 。 
| 防火 增 如 向 帮助 保护 计算 机 ? 
各 更 次 通知 设置 什么 是 网 络 位 置 ? 
包 打开 或 关闭 Windows 防火 寺 国名 smsw 
鸭 还 原 默 认 设置 
国 高 工作 区 中 连接 到 二 网络 
对 网 络 进行 短 难 解答 Windows 防火 墙 杖 态 启用 
传 入 连接 阻止 所 有 与 未 在 允许 程序 列表 中 自 
活动 后 网 给 | :sueu 
通知 状态 Yindows 防火 擅 阴 止 新 程序 时 不 于 











| 岁 宗 斌 或 工作 寺 用 ) 网 络 中) 


图 名 mmsw 
7-83 自 带 防 火 墙 主 设置 3 


(4) 可 以 看 到 “允许 程序 通过 Windows 防火 墙 通信 ?的 界面 。 勾 选 程序 ,就 可 以 允许 其 
通过 防火 墙 ,如 图 7-84 所 示 。 

(5) 选择 “远程 桌面 "程序, 单 击 “确定 ”按钮 ,如 图 7-85 所 示 。 

(6) 在 上 一 步 .如 果 单 击 “ 允 许 运行 男 一 程序 ”按钮 ,那么 就 会 出 现 “ 添 加 程序 ”的 界面 ， 
如 图 7-86 所 示 。 
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『 控制 面板 ”系统 和 安全 - Windows 防火 培 > 允许 的 程序 | 投亲 控制 面板 





允许 程序 通过 Windows 防火 墙 通 信 
若 要 添加 、 更 改 或 币 除 所 有 允许 的 程序 和 庙 口 ， 请 单 击 “ 更 改 设置 ”。 


允许 程序 通信 有 哪些 风险 ? 本 机 





允许 的 程序 和 功能 以) 















口 BranchCache - 内 容 检索 (使 用 HTTP 

口 BranchCache - 托管 绎 存 服务 器 (使 用 HTTPS) 
口 BranchCache - 托管 缓存 客户 端 ( 使 用 ITTFS) 
口 cow+ 网 络 访问 

口 Co 远程 管理 

回 DFS 管理 

回 FTF 服务 器 

口 iscsIT 服务 

口 Metlogon 服务 

口 SmP Trap 

OWindows llanagement Instrumentation (YII) 
口 Windows 安全 配置 向 导 
| 口 yindows 防火 壕 元 各 管理 





日 口 口 口 口 口 国 图 口 口 口 口 口 
中 口 口 口 口 口 轩 四 口 口 口 口 口 图 省 





详细 信息 中 两 珊 邓 


爷 许 运行 另 一 程序 中 )- 











图 7-84 自 带 防火 墙 主 设置 4 





版 > 系统 和 安全 出 ndows 防火 墙 " 允许 的 程序 二 园 | 雪 未 控制 面板 


人 允许 程序 通过 Windows 防火 墙 通信 
若 要 添加 、 更 改 或 出 条 所 有 允许 的 程序 和 端口 ， 请 单 击 “ 更 吹 设置 ”。 


允许 程序 通信 有 哪些 风险 ? e724 


人 允许 的 程序 和 功能 A) 

[二 ] 可 区/ 工作 传 用 ) | 公用 | < 
回 核心 网 络 

口 路 由 和 远程 访问 
口 密 钥 管理 服务 

回 万 维 网 服务 TTP) 
口 网 络 发 现 

口 文件 和 打印 机 共享 
口 性 能 日 志和 警报 
口 远程 服务 管理 

口 远程 管理 

口 运 程 计划 任务 管理 
口 远程 卷 管理 

口 远程 事件 















口 口 口 口 口 口 口 口 图 口 口 图 
口 口 口 口 口 口 口 口 图 口 口 图 





志 管 理 











详细 信息 CD) - 而 十 | 
多 许 运行 另 一 程序 外. 


Ee | Mm | 
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允许 程序 通过 Yindoxs 防火 培 通 信 


EI 





峰 Internet Explorer (64 位 ) 


回 回 
口 口 
口 口 
回 回 
口 口 
口 口 
口 口 
口 口 
[a 口 
a 口 
口 口 
me 口 
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(7) 单 击 " 浏 览 "按钮 ,选择 程序 (例如 mstsc, 这 个 是 远程 桌面 的 应 用 程序 ), 如 图 7-87 
所 示 。 











-人 Snsdte 2009/7/14 9;39 应 用 程 上 
最 近 访问 的 位 置 回 "=feedssyrne 2008/7/14 9:39 应 用 程 所 
和 六 加 nse 2009/7/14 9:39 应 用 程 后 


同 库 固 nsmts 2009/7/14 9;39 应 用 程 所 


图 视频 下 ,iexee 20081T/14 9:39 应 用 程 后 

图 片 加 .intoz 2009/7/14 9:39 应 用 程 后 
站 国 nspaint 2003/7/14 9:39 应 用 程 所 
而 时 tte 2008/7/14 9:39 。 应 用 程 上 
加 rainattend 2009/T/14 9:39 应 用 程 后 





时 FM 这 mpsTAT 2009/7/14 9:39 应 用 程 月 
人 2009/7/14 9:51 上 








ee] [enereomi 本 
| 





图 7-87 自 带 防火 墙 主 设置 7 


(8) 上 一 步 选择 的 “远程 桌面 连接 ”程序 .会 出 现在 “允许 程序 通过 Windows 防火 墙 通 
信和 ”界面 中 ,如 图 7-88 所 示 。 
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Taternat Ecplorer 
芒 Tnternet Explorer B4 位 ) 


回 回 
口 口 
口 口 
回 回 
口 口 
口 口 
口 口 
口 口 
口 口 
口 口 
口 口 
豆 口 








图 7-88 自 带 防火 墙 主 设置 8 


7.3.2 IPSec 网 络 安全 的 配置 

【实验 名 称 】 

IPSec 网 络 安全 的 配置 。 

【实验 日 的 】 

设置 Windows Server 2008 R2 系统 内 置 的 防火 墙 ,实现 对 IPSec 的 网 络 安全 配置 。 

【实验 设备 】 

一 台 装 有 Windows Server 2008 R2 系统 的 计算 机 。 

【 实验 原理 】 

IPSec 连接 安全 规则 允许 用 户 为 满足 指定 标准 的 连接 请 求 IPSec, 这 些 标 准 类 似 于 
Windows 防火 墙 筛选 器 。 

可 以 在 以 下 情况 设置 IPSec 安全 规则 。 

(1) 拒绝 来 自 指定 IP 地 址 的 所 有 通信 ; 

(2) 拒绝 所 有 来 自 默 认 网 关 的 ICMP 通信 ; 

(3) 拒绝 所 有 来 自 内 网 的 发 往 指定 端口 的 通信 ; 

(4) 限制 除了 特定 服务 器 的 所 有 出 站 连接 。 

每 个 计算 机 只 能 拥有 一 个 IPSec 策略 。 如 果 多 个 组 策略 应 用 于 一 台 计 算 机 ,每 个 组 策 
略 都 有 不 同 的 IPSec 策略 ,只 有 最 高 级 的 IPSec 策略 会 起 作用 。 

【实验 步骤 】 

(1) 打开 “Windows 防火 墙 ” ,如 图 7-89 所 示 。 

(2) 打开 “高 级 安全 Windows 防火 墙 ”窗口 ,如 图 7-90 所 示 。 

(3) 右 击 “ 连 接 安 全 规则 ” .在 弹出 的 快捷 菜单 中 选择 “新 规则 ”选项 ,显示 “新 建 连接 安 
全 规则 向 导 ” 对 话 框 ,如 图 7-91 所 示 。 
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信用 Wiad4or 陋 大 入 大 号 保 护 全 的 计生 机 


madevs 基 火 培 有 防 于 也 目 属 加 可 二 全 软 他 对 过 Interaet 采 FS 访 喇 人 9 其 机 * 



































图 7-91 IPSec 配置 3 
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(4) 选择 “ 自 定义 ”, 如 图 7-92 所 示 。 








图 7-92 IPSec 配置 4 


(5) 单 击 “ 下 列 IP 地 址 " 单 选 按钮 ,然后 单 击 “ 添 加 ”按钮 ,添加 终结 点 计算 机 ,如 图 7-93 
所 示 。 





图 7-93 ”IPSec 配置 5 


(6) 为 人 站 和 出 站 连接 选择 是 否 需 要 进行 身份 验证 ,如 图 7-94 所 示 。 
(7) 显示 “身份 验证 方法 ”, 选 择 “ 默 认 值 ”, 如 图 7-95 所 示 。 
(8) 选择 协议 和 端口 ,如 图 7-96 所 示 。 
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图 7-94 IPSec 配置 6 





图 7-95 IPSec 配置 7 








7-96 ”IPSec 配置 8 
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(9) 显示 “配置 文件 ”界面 ,选择 需要 应 用 规则 的 配置 文件 ,如 图 7-97 所 示 。 





图 7-97 ”IPSec 配置 9 


(10) 显示 “名 称 ”界面 ,输入 “名 称 ” 和 “描述 ”, 如 图 7-98 所 示 。 





图 7-98 IPSec 配置 10 


(11) 完成 新 规则 的 创建 ,在 窗口 中 显示 刚刚 创建 的 规则 ,如 图 7-99 所 示 。 





图 7-99 IPSec 配置 11 


7.3.3 防火 墙 策略 的 导入 与 导出 
【实验 名 称 】 
防火 墙 策略 的 导入 与 导出 。 
【实验 日 的 】 
可 以 将 防火 墙 规则 和 连接 安全 规则 以 及 其 他 设置 应 用 于 一 个 或 多 个 防火 墙 配置 文件 ， 
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然后 将 这 些 配置 文件 应 用 于 计算 机 ,从 而 节省 时 间 。 


【实验 设备 】 
一 台 装 有 Windows Server 2008 R2 系统 的 计算 机 。 
【实验 步骤 】 











(1) 打开 “控制 面板 "里 的 “Windows 防火 墙 ?面板 , 单 击 左 侧 栏 中 的 “高 级 设置 ?选项 ,如 
图 7-100 所 示 。 












镍 Yindews 防火 培 [el 





























Oi 加 
© 
控制 面板 主页 使 用 Windows 防火 过 未 帮助 保护 千 的 计算 机 
ne 后 有 了 于 扩 上架 吕 人 tonet 区 训 交 和 机 。 
类 防火 增加 何 部 助 保护 计算 机 ? 
固 更 路 通知 座 轩 什么 是 网 络 位 置 ? 
aan ET 示 才 六 国 
鸭 示 株距 认识 于 
国 高 Ri | 区 公用 网 络 () 已 连接 加 
对 3 进行 向 表 角 于 公共 场所 信 哲 [ 机 场 驶 吓 旱 店 ) 中 的 迪 
Windows 防火 墙 状 态 启用 
伟 入 连 撞 阻止 所 有 与 未 在 多 许 程序 列表 中 的 程序 迫 接 
活 sh 公 用 了 网络 下 未 RBpE 
通知 居 态 Yindors 防火 二 阴 目 新 程序 时 不 要 通知 我 
另 请 参加 
所作 中 心 
网络 和 共享 中 心 


图 7-100 防火墙 策略 1 
(2) 在 右面 的 “操作 ”一 栏 中 , 单 击 “ 导 出 策略 ”选项 ,如 图 7-101 所 示 。 







文件 
CE 


本 入 站 堆 刚 


出 站 规则 
连接 安全 规则 
田 隐 监视 


























Eg 高 姐 支 全 Windows 防火 培 为 Yindevs 计算 机 提供 网 络 支 全 。 





起 还 

域 配置 文件 

加 Windors 防火 墙 已 证 用 。 

国 阻 此 与 规 风 不 可 的 入 站 连接 。 
加 了 许 与 4 ER 的 出 让 这 报 。 
专用 配置 文件 

网 Windors 防火 墙 已 启用 。 

人 @ 阳 止 与 规 MMT9R 的 入 站 这 接 。 
全 7f 放 与 失 nFTPEER 的 出 让 连接 
公用 配置 文件 是 活动 的 

大 Windors 防火 墙 已 让 用 。 

人 阻 此 与 规 M 不 PE 可 的 入 站 连接 * 
人 @ 7i 放 与 RnIT PR89Hi 广 接 。 
加 Window< 防火 增 必 性 











图 7-101 防火 墙 策略 2 
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(3) 为 导出 的 策略 指定 存放 地 点 并 取 名 保存 ,如 图 7-102 所 示 。 


EGG 了 





7-102 ”防火 墙 策略 3 


(4) 完成 ,如 图 7-103 所 示 。 


本 地 计算 机 上 的 


和 rindows 防火 墙 已 让 用 。 
图 阳 止 与 规 MF0GERA 的 入 站 连接 。 
加 爷 许 与 规则 不 四 酝 :的 3 出 计 注 接 = 








图 rinaw: 防火 培 属 性 











图 7-103 ”防火墙 策 略 4 
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(5) 在 “高 级 安全 Windows 防火 墙 ? 的 界面 中 ,在 右 栏 "操作 ”中 , 单 击 “ 导 入 策略 ”选项 ， 
如 图 7-104 所 示 。 








文件 四。 操作 W) 查看 W) 帮助 00 





和 中 | 到 | 图 加 


计算 机 








级 安全 Winasws 防火 寺 








本 地 计算 机 上 的 


gm i mian i HH 
四 





扳 壕 

域 配置 文件 

网 Tindows 防火 墙 已 启用 。 

人 阻止 与 规则 不 玫 可 的 入 站 连接 。 
人 @ 人 和 与 规 风 不力 可 的 出 让 连接 。 
专用 配置 文件 

加 Yindovs 防火 墙 已 启用 * 

图 阻止 与 规 刚 不力 可 的 入 站 连接 。 
加 和 f 许 与 损 MI 不 ERB9 出 站 连 按 。 
公用 配置 文件 是 活动 的 

网 Tindws 防火 墙 已 启用 * 

人 阳 止 与 规则 不 PER89 入 站 连接 。 
全 和 许 与 抽风 不 PEER89 出 站 连接 。 
图 Yindows 防火 墙 属性 


入 门 














图 7-104 防火 墙 策略 S 


(6) 弹出 导入 策略 的 安全 提醒 , 单 击 * 是 ”按钮 ,如 图 7-105 所 示 。 











一 入 站 抽风 
出 站 规则 
连接 安全 规则 
监视 





全 Tindors 防火 说 
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6 
€ 
下 
全 3 在 入 一 个 弟 员 四 7 
上 
© 
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am |CEw 


EETTX TT 而 TID 
加 Windors 防火 墙 已 启用 。 

图 阻 上 与 规 刚 不 匹配 的 入 站 连接 * 
多 放 与 规 I 下 [0 和 出 站 连接 。 





图 Window: 防火 十 属性 
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图 7-105 ”防火墙 策略 6 
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(7) 打开 防火 墙 策略 的 保存 路 径 , 单 击 打 开 ” 按 钮 ,如 图 7-106 所 示 。 

















OO 左下 下- 
组 织 ~ 新 建文 伯 夫 Eg 
本 全 本 这 这 排列 方式 ， 文件 夫 ~ 
图 点 面 
入 最 近 访问 的 位 置 和 名称。 修改 日 其 类 型 








中 音乐 
田村 计算 机 
田 贸 网 络 
[el 司 
tN [securewiw 日 sznrm 日 


ly 
图 7-106 防火墙 策略 7 
(8) 策略 导入 完成 ,如 图 7-107 所 示 。 


本 地 计算 机 上 的 高 级 安全 ® 








Eg 高 如 安全 Windows 防火 二 为 入 ndows 计算 机 提供 问 络 安全 。 





概述 

域 配置 文件 

加 Yiniows 防火 墙 已 启用 。 

© MS rm EEETEE | 
@ 人 fi 许 与 规则 不 加 
专用 配置 文件 
岂 inaows 防火 墙 已 
© 阻止 与 规则 不 ma 
@ fi 许 与 规 MI 下 mm 
公用 配置 文件 是 活动 的 

器 Yinaovws 防火 墙 已 启用 。 

国 阻止 与 规则 不 Pi2 的 入 站 连接 。 
加 允 许 与 规则 不 Pa 可 的 出 沾 和 连 接 。 
Windows 防火 墙 属性 


入 门 副 
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8.1 ISA Server 2006 防火 墙 的 安装 


【实验 名 称 】 

ISA Server 2006 防火 墙 的 安装 。 

【实验 设备 】 

CPU: 至 少 773MHz, 最 多 支持 4 个 CPU。 

内 存 : 至 少 256MB, 推 荐 使 用 512MB 或 更 高 。 

硬盘 空间 : 具有 150MB 可 用 硬盘 空间 的 NTFS 格式 本 地 分 区 ; Web 缓存 内 容 将 需要 
更 多 的 空间 。 

操作 系统 : Windows Server 2003 或 WindowsServer2000 操作 系统 。 但 是 如 果 在 运行 
WindowsServer2000 的 计算 机 上 安装 ISA Server 2006 服务 器 ,那么 必须 达到 以 下 要 求 。 

(1) 安装 Windows2000 Service Pack4 或 更 高 版 本 ; 

(2) 安装 Internet Explorer 6 或 更 高 版 本 。 

【实验 拓扑 】 

实验 拓扑 结构 如 图 8-1 所 示 。 


< 


SccureNAT Client 
IP:10.0.1.2/8 


IP:10.0.1.1/8 IP:192.168.1.40/24 
DG:None DG:192.168.1.50 
DNS:10.0.1.1 DNS:None 





te 
DG:10.0.1.1 OAS 
DNS:10.0.1.1 
图 8-1 JISA 安 装 1 
【实验 准备 】 


(1) 确认 安装 DNS 服务 器 。 

(2) 确认 安装 DHCP 服务 器 。 

(3) 采用 NTFS 文件 系统 格式 的 本 地 硬盘 。 

(4) 为 连接 到 ISA 服务 器 计算 机 的 每 个 网 络 单独 准备 一 个 网 络 适配器 。 
(5) 设 定 相关 的 卫 地 址 。 

(6) 关闭 所 有 的 防火 墙 。 
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如 果 使 用 的 是 Windows2000 SP4 整合 安装 ,还 要 求 打 KB821887 补丁 (为 Windows 
2000 授权 管理 器 运行 库 配置 审核 时 ,安全 日 志 中 未 记录 授权 角色 的 事件 ) 。 

网 络 适 配器 : 必须 为 连接 到 ISA Server 2006 的 每 个 网 络 单独 准备 一 个 网 络 适 配器 ,至 
少 需要 一 个 网 络 适配器 。 但 是 在 单 网 络 适配器 计算 机 上 安装 的 ISA Server 2006 服务 器 通 
常 是 为 发 布 的 服务 器 提供 一 层 额 外 的 应 用 程序 筛选 保护 或 者 缓存 来 自 Internet 的 内 容 
使 用 。 

DNS 服务 器 : ISA Server 2006 不 具备 转发 DNS 请 求 的 功能 ,必须 使 用 额外 的 DNS 服 
务 器 。 或 者 在 内 部 网 络 中 建立 一 个 DNS 服务 器 ,或 者 使 用 外 网 (Internet) 的 DNS 服务 器 。 

网 络 ; 在 安装 ISA Server 2006 之 前 ,应 保证 内 部 网 络 正常 工作 ,ISA 服务 器 可 以 成 功 
ping 通 所 有 网 络 , 这 样 可 以 避免 一 些 未 知 的 问题 。 

【实验 步 驰 】 

(1) 将 ISA Server2006 企业 版 CD 放 到 光驱 内 ,以 便 自 动 启动 安装 程序 ,或 是 自行 执行 
CD 内 的 ISAAutorun. Exe 程序 ,如 图 8-2 所 示 。 


轿 mi cr。soft ISA Server 2006 安装 程序 LIEJxj 


时 Wiidows server System 


Microsoftr 
Internet Security& 
Acceleration Server 2006 
Enterprise Edition 
疗 读 发 行 婉 明 实 装 ISA Server 2008 
同安 装 指南 同 庄 升 纪 指 南 
阅读 快速 入 门 指南 退出 
| 
| a08 Weressat corporstion A riehts reservet. Mcroeoft 





图 8-2 ISA 安装 2 


(2) 在 Microsoft ISA Server 2006 安装 程序 中 ,选择 “安装 ISA Server 2006” 选 项 。 

(3) 在 安装 程序 显示 提示 消息 ,指出 已 确定 了 系统 配置 后 ,在 "欢迎 ”页 上 , 单 击 “ 下 一 
步 " 按 钮 ,如 图 8-3 所 示 。 

(4) 如 果 接 受 最 终 用 户 许 可 协议 中 所 陈述 的 条 款 和 条 件 . 请 选中 “我 接受 许可 协议 中 的 
条 款 ” 单 选 按 钮 ,然后 单 击 “ 下 一 步 ” 按 钮 .如 图 8-4 所 示 。 

(5) 输入 详细 的 客户 信息 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

(6) 在 “安装 方案 ”对 话 框 中 .请 选中 “同时 安装 ISA Server 服务 和 配置 存储 服务 器 " 单 
选 按钮 ,然后 单 击 “ 下 一 步 ”按钮 .如 图 8-5 所 示 。 弹 出 “组 件 选择 ”对 话 框 , 如 图 8-6 所 示 。 
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MICROSOFT 软件 许可 条 款 


MICROSOFT INTERNET SECURITY AND 
ACCELERATION SERVER 2006 STANDARD AND 
ENTERPRISE EDITIONS 


许可 条 款 是 Microsoft Corporation〔 葡 您 所 在 地 的 Microsoft Corporation 关联 


公司 ) 与 您 之 阅 达 成 的 协议 。 请 阅读 本 条 款 的 内 容 。 本 条 款 适 用 于 上 述 软件 ， 其 于 | 
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图 8-6 安装 向 导 


有 以 下 4 个 组 件 可 以 安装 。 

@ ISA 服务 器 。 组 成 ISA 服务 器 的 服务 ,控制 访问 以 及 网 络 之 间 的 通信 。 

@ 高 级 日 志 。 用 来 查看 并 筛选 历史 日 志 数 据 。 

@ ISA 服务 器 管理 。ISA 服务 器 管理 用 户 界面 。 

@ 配置 存储 服务 器 。 又 称 为 CSS 服务 器 ,为 ISA 服务 器 阵列 存储 企业 配置 。 

(7) 在 "组 件 选择 "对 话 框 中 , 单 击 * 下 一 步 "按钮 。 在 弹出 的 “企业 安装 选项 "对 话 框 中 ， 
选中 “创建 新 ISA 服务 器 企业 ” 单 选 按 钮 , 单 击 " 下 一 步 ”按钮 ,如 图 8-7 所 示 。 





篇 Wicrosoft ISA Server 一 安装 向 导 2 








图 8-7 “企业 安装 选项 "对话 框 


(8) 在 “新 建 企业 警告 对话 框 中 , 单 击 “下 一 步 ”按钮 。 
(9) 配置 内 部 网 络 。 完 成 下 列 步 又 。 
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“添加 ”按钮 。 

“添加 范围 ”按钮 。 

在 “IP 地 址 范围 属性 对话 框 中 ,输入 内 网 地 址 的 范围 ,在 “起 始 地 址 ”文本 框 中 输入 
10. 0.1.1, 在 “结束 地 址 ”文本 框 中 输入 10. 0. 1. 254 ,如 图 8-8 所 示 。 





























ETEUIE3 区 ”局 
指定 IP 地 址 范围 
起 始 地 址 G): 畦 束 地 址 外 ) : 

10 0 1 1 10 0 1 254 


mw | ws | 





南开 好 | | 清 四 | 温 mierosoft 工 .| 加 Wieresott 工 | 期 Wierosoft I [|G | 名 | 咖 曙 要 名 多 国 15.05 
图 8-8 ”安装 向 导 添加 地 址 范围 


@ 单 击 两 次 “确定 ”按钮 ,然后 单 击 “ 下 一 步 " 按 钮 。 

(10) 在 “防火 墙 客 户 端 连接 设置 "对 话 框 中 ,选择 是 否 在 防火 墙 客 户 端 与 ISA 服务 器 计 
算 机 之 间 允 许 非 加 密 的 连接 。ISA Server2006 防火 墙 客 户 端 软件 使 用 加 密 , 但 旧版 本 不 使 
用 加 密 。 此 外 ,有 些 版 本 的 Windows 不 支持 加 密 。 选 择 下 列 选项 。 

@ 允许 没有 加 密 的 防火 墙 客 户 端 连接 。 人 允许 运行 在 不 支持 加 密 的 Windows 版 本 上 的 
防火 墙 客户 端 连 接 到 ISA 服务 器 计算 机 。 

@ 允许 防火 墙 客户 端 运行 早期 版 本 的 防火 墙 客户 端 软件 连接 到 ISA 服务 器 。 只 有 在 
选择 了 第 一 个 选项 的 情况 下 此 选项 才 可 用 。 

(11) 在 “服务 警告 "对 话 框 中 ,检查 在 ISA 服务 器 的 安装 过 程 中 将 被 停止 或 禁用 的 服务 
列表 。 要 继续 安装 , 单 击 "下 一 步 "按钮 ,如 图 8-9 所 示 。 

(12) 单 击 “ 安 装 ” 按 钮 ,如 图 8-10 所 示 。 

(13) 如 果 希 望 在 安装 完成 后 立即 调用 ISA 服务 器 管理 .那么 请 选中 “在 向 导 关 闭 时 运 
行 ISA 服务 器 管理 ” 复 选 框 ,然后 单 击 “ 完 成 ”按钮 .如 图 8-11 所 示 。 
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时 务 柳 告 
在 安装 过 程 中 , 某 些 在 此 计算 机 上 本 地 运行 的 服务 可 能 会 被 重启 动 或 禁用 。 





安装 过 程 中 格 重新 自动 的 服务 
Or) 


IIS 
World Wide Web 发 布 服务 


安装 过 程 中 将 禁用 的 服务 ; 
Internet 火 墙 [CF)/Internet 连接 共享 CCS) 
I MES 









8-9 ”服务 警告 


下 相隔 | 
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sy 正在 安 壮 Wierosoft ISA Server 2006 
正在 安装 所 碗 程序 功能 ， 
附加 组 件 
但 ES Microsoft ISA Server 2008 ， 语 等 竺 。 这 可 能 需 
状态 ; 
正在 复制 新 文件 







nnn 








Tm 






胎 开 好 | | 荔 国 。 | 晕 microsott Ish se 


| merosort rn ser | Merosort TSA ser 





图 8-10 安装 向 导 复制 文件 
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图 8-11 安装 向 导 完 成 


8.2 ISA 防火 墙 的 安全 配置 与 管理 


8.2.1 配置 内 部 网 络 


在 ISA Server 2006 中 ,防火墙 策 略 是 网 络 规则 、 访 问 规则 和 服务 器 发 布 规则 三 者 的 结 
合 。 网 络 规则 定义 了 不 同 网 络 间 如 何 访问 ,而 访问 规则 定义 了 用 户 ( 内 、 外 网 ) 的 访问 ,服务 
器 发 布 规则 定义 了 如 何 让 用 户 访问 服务 器 。 

【实验 步骤 】 

(1) 防火 墙 系统 策略 。 在 安装 ISA Server 2006 服务 器 时 ,会 创建 默认 的 系统 策略 。 系 
统 策略 允许 ISA Server 2006 服务 器 访问 它 连接 到 的 网 络 的 特定 服务 。 在 “防火 墙 策略 ”上 
单 击 右键 ,指向 “查看 ”, 单 击 “ 显 示 系 统 策略 规则 ”, 如 图 8-12 所 示 ,或 者 单 击 工 具 栏 最 右边 
的 图 标 按 钮 ,如 图 8-13 所 示 。 





防火 墙 策略 任务 
加 符 布 Erchange ob 专 
PW 问 


习 发 和 闻 件 困 务 器 
类 i Sharapeiat 站 点 





8-12 显示 系统 策略 规则 
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Intermet Security & 和 
Lt 本 本 个 取 务 可 :1 防火 坟 第 路 (x1) 






在 阵列 起 火 培 策略 之 前 应 用 的 全 业 策 号 规则 防火 墙 策 略 任务 
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防火 过 策略 规则 











在 阵 下 火 培 策 咯 之 后 应 用 的 企业 第 虽 规 则 
国 杂 -过 a Ox。 i。 才 所 有 月 赂 [ 坟 必 





策略 编辑 任务 


系统 策略 任务 
有 办 各 不 绵 知 中 | 
F- 一 








图 8-13 防火墙 策略 任务 


(2) 右边 出 现 了 系统 策略 ,如 图 8-14 所 示 ,标注 的 地 方 表 明 ,ISA Server 2006 服务 器 可 
以 向 任何 网 络 发 起 DNS 请 求 。 


文件 四 排 作 必 查看 0 得 肋 og 
和 了] 相同 | 锥 国 引 | 订 由 








rnet Securi 


人 站 相当 
了 e006 民 避 在 外 服务 加: 随 火 二 第 略 (s1) 


北洋 合 用 WetBTIES 运 各 本 会话 二 本 地 主机 


etETOS 名 
vBies 数 


北 许 从 ISA 服务 吕 :i MDIWS 记 帖 到 本 于 主机 
TI 


北洋 从 TSA 服务 器 到 表 ， er 二 村 必 主机 


并 许 从 SA 服务 器 到 所 钢 mre G3 下 ) 之 相 地 主机 。 二 任 间 地 点 

区 洗 从 mr 服务 器 到 而 mr 所 革 之 内 可 全 本 出 主机 。 执 所 有 用 户 

区 省 从 所 计划 到 Ts 电 现 mme 动人 1 各 管 ， 之 本 地 主机 。 名 所 有 用 户 
一 远 入 人 再 i 


北 洗 从 TSA 服务 加 到 已 三 Imme ea 由， 之 了 主机。 宝 所 有 8( 多 所 有 用 户 





8-14 ”服务 器 可 以 向 任何 网 络 发 起 DNS 请 求 


注意 : 系统 策略 在 安装 ISA 服务 器 时 默认 部 分 策略 是 启用 的 ,部 分 策略 是 未 启用 的 , 建 
议 根 据 自己 的 需求 来 禁用 不 需要 的 系统 策略 类 别 , 启 用 需要 的 系统 策略 类 别 。 

(3) 访问 策略 。 现 在 需要 建立 一 条 访问 策略 以 允许 内 部 网 络 客户 访问 外 部 网 络 
(Internet) ,同时 .因为 内 部 网 络 客户 需要 访问 ISA Server 2006 服务 器 上 的 DNS 服务 器 以 
解析 域名 ,也 需要 建立 一 条 策略 以 允许 内 部 网 络 客户 访问 ISA Server 2006 服务 器 的 DNS 
服务 。 
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@ 新 建 一 条 允许 内 部 客户 访问 外 部 网 络 的 所 有 服务 的 访问 规则 。 
。 在 “防火 墙 策略 ”选项 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 "新 建 ”访问 规则 ”命令 ， 
如 图 8-15 所 示 。 


YA 计生 全 用， 国 交 放 。 服 NDP 区 交合 
apy wee 到 运 有 管理 二 
AR ru ER 国 j。 邮 R 生 有 全 LE 和 





8-15 ”访问 规则 


。 在“ 新建 访问 规则 向 导 ” 的 “访问 规则 名 称 ” 文 本 框 中 ,输入 “Allow all outbound 
traffie”, 单 击 “ 下 一 步 ”按钮 。 然 后 在 “规则 操作 ”对 话 框 中 选中 “允许 ” 单 选 按钮 , 单 
击 “ 下 一 步 ” 按 钮 ,如 图 8-16 所 示 。 


[aq 





郊 话 从 所 巡 计 算 机 合用 国 吉 f 罗 mr 医 汪 区 全 由 二 管 





图 8-16 访问 规则 允许 
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。 在“ 协议? 对话 框 中 的 “此 规则 应 用 到 ”下 拉 列 表 框 中 选择 “所 有 出 站 通讯 ?选项 , 单 击 
“下 一 步 "按钮 ,如 图 8-17 所 示 。 





Lirs 
Oni 
| ntBies 会 话 
BC (所 有 


日 回 3 系 丢 人 主人 所 和 计算机 合用 。 国 区 放 ” 慨 WP 六 











图 8-17 所 有 出 站 通讯 


。 在 “访问 规则 源 ” 对 话 框 中 单 击 “ 添 加 ”按钮 ,在 弹出 的 “添加 网 络 实体 ”对 话 框 中 双击 
“内 部 ”选项 ,然后 单 击 "关闭 ”按钮 , 单 击 "下 一 步 ”按钮 ,如 图 8-18 所 示 。 








图 8-18 内 部 
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。 在 “访问 规则 目标 ”对 话 框 中 单 击 “ 添 加 ”按钮 ,在 弹出 的 “添加 网 络 实体 ”对 话 框 中 双 
击 “ 外 部 ”选项 ,然后 单 击 “ 关 闭 ” 按 钮 , 单 击 “下 一 步 ” 按 钮 ,如 图 8-19 所 示 。 


。 防火 墙 策略 (s1) 





图 8-19 外 部 
。 在 “用 户 集 ” 对 话 框 中 接受 默认 的 所 有 用 户 , 单 击 “ 下 一 步 "按钮 ,如 图 8-20 所 示 。 


防火 墙 策略 (<1) 


|@+xt 放 7 二 本 地 主机 
UDP oe 【 


Ln 
rs ec (. 
Ds 


etbios 会 话 各 远程 各 理 计 
etBI0s 各 .下 阵列 服务 器 


区 详 上 E 防火 雯 控件 区 全 灿 5 和 
etBios 六 
EEC 所 有 





图 8-20 接受 默认 的 所 有 用 户 


。 回顾 已 选择 的 设置 ,然后 单 击 “ 完 成 ”按钮 ,如 图 8-21 所 示 。 
。 如 图 8-22 所 示 , 单 击 “ 应 用 ”按钮 。 弹 出 “正在 保存 配置 更 改 ” 对 话 框 , 单 击 “ 确 定 ” 按 
钮 ,如 图 8-23 所 示 。 
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8-21 回顾 已 选择 的 设置 


InternetSecurity& 2 辕 存 了 
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Nieresoft 
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8-22 ”应 用 选择 的 设置 


@ 新 建 一 条 允许 内 部 客户 访问 ISA Server 2006 服务 器 上 的 DNS 服务 的 访问 规则 。 

。 主要 步骤 和 上 面 一 样 .不同 的 地 方 如 下 。 

规则 名 : Allow internal acces firewall's dns service。 

在 “协议 ”对 话 框 中 的 “此 规则 应 用 到 ”下 拉 列 表 框 中 选择 “所 选 的 协议 ”选项 ,然后 单 击 
“添加 ”按钮 ,在 弹出 的 “添加 协议 ”对 话 框 中 选择 “通用 协议 ”选项 下 的 DNS 选项 ,如 图 8-24 
所 示 。 
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Aow all outbound tr ， 国 元 许 网 所 有 出 站 通讯 各 内 部 





8-24 所 选 的 协议 


。 访问 规则 目标 为 “本 地 主机 ”, 如 图 8-25 所 示 。 

。 此 时 ,ISA Server 2006 的 管理 控制 台 如 图 8-26 所 示 。 单 击 “ 应 用 ”按钮 以 保存 修改 
并 更 新 防火 墙 策略 。 

。 在 “正在 保存 配置 更 改 ” 对 话 框 中 单 击 “ 确 定 ” 按 钮 ,如 图 8-27 所 示 。 

。 此 时 ,ISA Server 2006 服务 器 的 初步 配置 已 经 完成 ,内 部 客户 可 以 访问 外 部 网 络 的 
所 有 服务 ,也 可 以 访问 ISA Server 2006 服务 器 上 的 DNS 服务 。 
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小 





访问 规则 目标 
此 规则 格 应 用 于 从 此 规则 源 发 送 到 此 页 指定 目标 9 下 讯 。 
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8-26 ”应 用 选择 的 设置 


注意 : 只 能 访问 ISA Server 2006 服务 器 上 的 DNS 服务 ,其 他 的 服务 都 会 被 禁止 (如 
ping 等 ), 因 为 没有 在 策略 中 明确 允许 这 一 点 。 

@ 启用 缓存 。 启 用 缓存 有 两 个 条 件 , 首 先是 设置 缓存 所 用 的 驱动 器 ,其 次 是 设置 缓存 
规则 。 
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8-27 ”成 功 应 用 配置 的 更 改 


。 设置 缓存 所 用 的 驱动 器 ,步骤 如 下 。 

a. 选择 ISA Server 2006 管理 控制 台中 的 “缓存 ”选项 , 单 击 工具 栏 上 最 右边 的 图 标 按 
钮 , 单 击 “ 定 义 缓存 驱动 器 "链接 ,如 图 8-28 所 示 。( 注 意 : 此 时 的 “缓存 "选项 上 有 个 向 下 的 
红色 箭头 ,表明 没有 启用 缓存 。) 


站 现在 届 新 


组 存 驱 动 器 任务 





8-28 ”定义 缓存 驱动 器 


b. 在 定义 缓存 驱动 器 对 话 框 中 ,根据 自己 的 网 络 带宽 及 流量 输入 最 大 缓存 大 小 , 单 击 
“设置 "按钮 进行 设置 ,不 过 需要 注意 的 是 ,缓存 驱动 器 必须 采用 NTFS 分 区 格式 ,如 图 8-29 
所 示 。 
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图 8-29 缓存 驱动 器 设置 


，。 设置 缓存 规则 ,步骤 如 下 。 
a， 此 时 “缓存 ”选项 上 已 经 没有 向 下 的 箭头 了 ,表明 已 经 设置 了 缓存 驱动 器 。 在 “缓存 ” 


选项 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 “新 建 ”>“ 缓 存 规则 ”命令 ,如 图 8-30 所 示 。 





日 避 在 台新 


缓存 驱动 品 任 务 
本 定 义 全 3 动 器 (月 用 从 存 ) 
| Rar 


图 8-30 ”缓存 规则 
b. 在 “新 缓存 规则 向 导 ” 对 话 框 中 输入 名 称 "Cache external content”, 然 后 单 击 “ 下 一 
步 " 按 钮 。 在 “缓存 规则 目标 "对话 框 中 单 击 “ 添 加 ”按钮 ,在 弹出 的 “添加 网 络 实体 ”对 话 框 中 
选择 “外 部 ”选项 , 单 击 “ 下 一 步 按 钮 ,如 图 8-31 所 示 。 
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上 乱 丰 规则 目标 
此 项 则 将 应 用 于 向 此 页 指定 目标 发 送 的 请 








图 8-31 选择 “外 部 "选项 
c. 在 “内 容 检索 ”对 话 框 中 接受 默认 的 设置 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 8-32 所 示 。 


新 钱 存 规则 向 导 





图 8-32 ”内 部 检索 


d. 在 “缓存 内 容 ” 对 话 框 中 默认 选中 “如 果 源 和 请 求 头 指明 要 缓存 " 单 选 按 钮 ,可 以 根据 
自己 的 需要 决定 是 否 选中 下 面 的 复 选 框 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 8-33 所 示 。 

e. 在 “缓存 高 级 配置 "对 话 框 中 ,根据 自己 的 需要 进行 设置 , 单 击 “ 下 一 步 ”按钮 ,如 图 8-34 
所 示 。 
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图 8-33 ”缓存 规则 向 导 





图 8-34 ”缓存 高 级 配置 


f. 在 “HTTP 缓存 ”对 话 框 中 接受 默认 的 设置 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 8-35 所 示 。 

g. 在 "FTP 缓存 ”对 话 框 中 .取消 选中 “启用 FTP 缓存 ” 复 选 框 (可 以 根据 自己 的 需求 进 
行 设置 ) , 单 击 “ 下 一 步 ” 按 钮 ,如 图 8-36 所 示 。 

h. 回顾 设置 ,然后 单 击 “ 完 成 "按钮 。 单 击 “ 应 用 ”按钮 以 保存 修改 和 更 新 防火 墙 策略 ， 
ISA Server 2006 会 弹出 一 个 警告 提示 ,选中 “保存 更 改 , 并 重启 动 服务 " 单 选 按 钮 ,然后 单 击 


212 防火 墙 技术 及 应 用 实践 教程 








图 8-35 HTTP 缓存 规则 向 导 





图 8-36 启用 FTP 缓存 


“确定 ”按钮 即 可 ,如 图 8-37 所 示 。 

i. 在 “正在 保存 配置 更 改 ” 对 话 框 中 单 击 “ 确 定 ” 按 钮 .如 图 8-38 所 示 , 成 功 后 会 在 缓存 
规则 栏 里 面 看 见 新 的 缓存 规则 。 

@ 取消 FTP 的 只 读 。ISA Server 2006 默认 是 不 允许 FTP 上传 的 ( 即 不 能 写 FTP 服 
务 器 )。 
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图 8-38 成功 启动 服务 
取消 的 方法 如 下 。 
。 在 允许 访问 FTP 服务 器 的 规则 上 (这 里 是 Allow all outbound traffic) 右 击 , 在 弹出 
的 快捷 菜单 中 选择 “配置 FTP” 命 令 , 如 图 8-39 所 示 。 
。 在 “配置 FTP 协议 策略 ”对 话 框 中 ,取消 选中 “只 读 ” 复 选 框 , 单 击 “ 确 定 ” 按 钮 ,如 
图 8-40 所 示 。 最 后 单 击 “应 用 ”按钮 以 保存 修改 和 更 新 防火 墙 策 略 。 
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图 8-40 “配置 FTP 协议 策略 ”对话 框 
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8.2.2 创建 网 络 规则 


在 安装 过 程 中 ,创建 了 默认 的 Internet 访问 网 络 规则 。 此 规则 定义 了 内 部 网 络 与 外 部 
网 络 之 间 的 关系 。 要 验证 规则 配置 ,请 执行 下 列 操作 。 

【实验 步骤 】 

(1) 展开 “配置 ? 节 点 ,然后 选择 “网 络 ? 选 项 。 

(2) 在 “网 络 规则 ”选项 卡 上 ,双击 “Internet 访问 ”规则 以 显示 “Internet 访问 属性 "对话 
框 ,如 图 8-41 所 示 。 





8-41 “Internet 访问 属性 "对 话 框 


(3) 在 “ 源 网 络 ? 选 项 卡 中 ,确认 列表 中 有 ”内 部 ?选项 。 如 果 没有 ,请 执行 以 下 操作 。 

@ 单 击 “ 添 加 ”按钮 ,弹出 “添加 网 络 实体 ”对 话 框 ,如 图 8-42 所 示 。 

@ 在 “添加 网 络 实体 ”对 话 框 中 ,选择 “网 络 ” 选 项 中 的 “内 部 ”选项 , 单 击 “ 添 加 ”按钮 , 然 
后 单 击 “关闭 ?按钮 。 

(4) 在 “目标 网 络 ” 选 项 卡 中 ,确认 列表 中 有 “外 部 ”选项 。 如 果 没 有 ,请 执行 以 下 
操作 。 

@ 单 击 “ 添 加 ”按钮 ,弹出 “添加 网 络 实体 ”对 话 框 ,如 图 8-43 所 示 。 

@ 在 “添加 网 络 实体 ”对 话 框 中 ,选择 "网络" 选项 中 的 “外 部 ”选项 , 单 击 “ 添 加 ”按钮 , 然 
后 单 击 “ 关 闭 ” 按 钮 。 

(5) 在 “网 络 关系 ”选项 卡 中 ,选择 “网 络 地 址 转换 (NAT)”。 

(6) 单 击 “ 确 定 ” 按 钮 。 

(7) 在 详细 信息 窗 格 中 , 单 击 “ 应 用 ”按钮 来 应 用 更 改 (如 果 进 行 了 更 改 ) 。 


216 防火 墙 技术 及 应 用 实践 教程 





Wicrosoft Internet Security 


企业 
阵列 
马 : 
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二 
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8-43 “目标 网 络 " 选 项 卡 


8.2.3 创建 策略 规则 
要 允许 内 部 客户 端 访问 Internet, 必须 创建 允许 内 部 客户 端 使 用 HTTP 和 HTTPS 协 
议 的 访问 规则 。 请 执行 下 列 操作 。 
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【实验 步骤 】 


(1) 右 击 “防火 墙 策略 ?选项 ,在 弹出 的 快捷 菜单 中 选择 新建" 一 “访问 规则 ”命令 ,如 
图 8-44 所 示 , 弹 出 “新 建 访问 规则 向 导 ” 对 话 框 。 
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图 8-44 创建 新 的 访问 规则 


(2) 在 对 话 框 中 输入 规则 的 名 称 。 例 如 ,输入 “允许 内 部 客户 端 通过 HTTP 和 HTTPS 
访问 Internet”。 然 后 , 单 击 “下 一 步 ” 按 钮 。 

(3) 在 “规则 操作 ”对 话 框 中 ,选中 “允许 ” 单 选 按 钮 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

(4) 在 “协议 ”对话 框 中 的 “此 规则 应 用 到 "下拉 列表 框 中 ,选择 * 所 选 的 协议 ”选项 ,然后 
单 击 “添加 ?按钮 。 

(5) 在 弹出 的 “添加 协议 ”对 话 框 中 ,展开 “通用 协议 ”" 选 项。 选择 HTTP 选项 后 单 击 
“添加 ”按钮 ,再 选择 HTTPS 选项 后 单 击 “ 添 加 ”按钮 ,再 单 击 “ 关 闭 ” 按 钮 ,然后 单 击 “下 一 
步 " 按 钮 ,如 图 8-45 所 示 。 

(6) 在 “访问 规则 源 ” 对 话 框 中 , 单 击 “ 添 加 ”按钮 。 

(7) 在 “添加 网 络 实体 "对话 框 中 ,选择 网络” 选项 下 的 “内 部 ”选项 , 单 击 “ 添 加 ”按钮 ， 
然后 单 击 “ 关 闭 ” 按 钮 ,然后 单 击 “ 下 一 步 ”按钮 。 

(8) 在 “访问 规则 目标 ”对 话 框 中 , 单 击 “ 添 加 ”按钮 。 

(9) 在 “添加 网 络 实体 ”对 话 框 中 ,选择 网络” 选项 下 的 “外 部 ”选项 , 单 击 “ 添 加 ”按钮 ， 
然后 单 击 “ 关 闭 ” 按 钮 ,然后 单 击 “ 下 一 步 " 按 钮 ,如 图 8-46 所 示 。 

(10) 在 “用 户 集 ” 对 话 框 中 ,验证 是 否 指定 了 “所 有 用 户 ”. 然 后 单 击 “ 下 一 步 ” 按 钮 。 

(11) 查看 摘要 页 ,然后 单 击 “完成 ”按钮 。 

(12) 在 详细 信息 窗 格 中 , 单 击 “ 应 用 ”按钮 来 应 用 所 做 的 更 改 。( 注 意 : 应 用 更 改 可 能 
需要 一 定 的 时 间 。) 
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访问 规则 目标 
此 规则 将 应 用 于 从 此 规则 新 发 送 到 | 此 页 指定 目标 的 适 讯 。 








8-46 “添加 网 络 实体 ”对 话 框 


8.2.4 测试 该 方案 


为 了 验证 方案 是 否 可 行 ,使 用 Web 代理 客户 端 访问 外 部 网 络 (MockInternet) 中 的 Web 
服务 器 。 
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在 内 网 客户 端 1 上 ,执行 下 列 操 作 将 客户 端 配 置 为 Web 代理 客户 端 。 

【实验 步骤 】 

(1) 在 内 网 客户 端 上 ,打开 Internet Explorer 浏览 器 。 

(2) 在 Internet Explorer 中 ,选择 “工具 ”>“Internet 选项 ”命令 ,弹出 “Internet 选项 ” 
对 话 框 。 

(3) 打开 “连接 ”选项 卡 上 , 单 击 “ 局 域 网 设置 "按钮 ,弹出 “局 域 网 (LAN) 设 置 " 对 话 框 。 

(4) 在 “代理 服务 器 ”选项 区 域 中 ,选中 “为 LAN 使 用 代理 服务 器 ” 复 选 框 。 

(5) 在 “地 址 ”文本 框 中 ,输入 ISA_1 的 计算 机 名 称 ,在 “端口 "文本 框 中 ,输入 8080。 如 
果实 验 室 配置 中 没有 DNS 服务 器 ,那么 请 使 用 ISA_1 的 内 网 网 卡 的 IP 地 址 ,而 不 要 使 用 
其 名 称 , 如 图 8-47 所 示 。 


配置 。 它 配置 一 些 定义 用 户 如 何 浏览 Internet 和 全 
从 而 减少 某 些 网 站 对 服务 器 构成 的 安全 隐患 。 有 关 此 


正确 显示 ， 共 妥 制 访问 网 络 资源 ， 例 如 在 通用 命名 约定 
RS 功能 被 茜 用 ， 悠 可 以 将 此 网 站 添加 到 相 
孔 信 息 ， 


Internet orer 二 








8-47 配置 “代理 服务 器 ” 


(6) 确保 未 选中 “自动 检测 设置 " 复 选 框 。 

(7) 关闭 Internet Explorer。 然 后 重新 打开 Internet Explorer。 

(8) 在 Internet Explorer 的 “地 址 ?下 拉 列 表 中 ,输入 外 网 Web 服务 器 的 IP 地 址 。 

请 注意 : 

如 果 外 部 网 络 中 存在 可 以 进行 名 称 解析 的 DNS 服务 器 ,那么 可 以 输入 外 网 Web 服务 
器 的 完全 合格 域名 (Fully Qualified Domain Name,FQDN)。 

如 果 浏 览 器 显示 在 外 网 Web 服务 器 上 发 布 的 网 页 , 则 说 明 内 网 客户 端 1] 访问 到 了 外 网 
的 Web 服务 器 ,此 方案 已 经 配置 成 功 。 
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8.3 创建 和 配置 受 限 制 的 计算 机 集 


【实验 任务 1】 配置 受 限 制 的 计算 机 集 

下 面 的 示例 使 用 与 实验 室 部 署 的 内 部 网 络 相关 联 的 全 地 址 : 10. 0. 0. 0 一 10. 255. 255. 255 。 
在 该 示例 中 ,将 创建 一 个 包含 IP 地 址 10. 54. 0. 0 一 10. 55. 255. 255 的 计算 机 集 , 该 计算 机 集 
包含 内 网 客户 端 2。 请 执行 下 列 操作 。 

【 实验 步骤 】 

(1) 在 Microsoft ISA 服务 器 管理 中 ,展开 sl 节点 ,如 图 8-48 所 示 ,然后 选择 “防火 墙 策 
略 ” 选 项 。 


区 洋 从 ISA 服务 回忆 指 .， 国 允许 IOTP 
InTES 


区 洋 从 TSA 服务 器 天 过 。 国光 主妇 mr om 
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万 洗 TTP ,从 ISA 服 .， 国 4 而 mm 


北洋 远程 沪 问 辽 置 礁 续 。 固 北 详 。 而 防火 寺 存 储 


区 洋人 英信 任 服 务 器 访 ，。 国 多 洗 a ero 
LL Et 
防火 二 人 








图 8-48 新建“ 计算 机 集 ” 


(2) 在 任务 窗 格 上 .打开 “工具 箱 ” 选 项 卡 ,再 打开 “网 络 对 象 ” 面 板 , 单 击 “ 新 建 "按钮 , 然 
后 在 弹出 的 菜单 中 选择 “计算 机 集 ” 命 令 , 如 图 8-48 所 示 。 

(3) 在 “名 称 ” 文 本 框 中 输入 新 计算 机 集 的 名 称 .如 “ 受 限 制 的 计算 机 集 ”。 

(4) 单 击 “ 添 加 ”按钮 并 选择 地址 范围 ”。 

(5) 在 “新 建 地 址 范围 规则 元 素 ” 对 话 框 中 .提供 地 址 范围 的 名 称 , 如 “ 受 限制 的 计算 机 集 
的 范围 >。 提 供 包 含 内 网 客户 端 2 的 地 址 的 IP 地 址 范围 ,如 10. 54. 0. 0 一 10. 55. 255. 255, 然 后 
单 击 “确定 ”按钮 。 

(6) 单 击 “ 确 定 ” 按 钮 以 关闭 “新 建 计算 机 集 规则 元 素 ” 对 话 框 。 

(7) 在 详细 信息 窗 格 中 , 单 击 “ 应 用 ”按钮 来 应 用 所 做 的 更 改 。 

(8) 将 网 络 配 置 保存 到 一 个 . xml 文件 中 ,以 便 在 所 做 的 配置 更 改 改 变 或 破坏 了 此 网 络 
对 象 时 ,可 以 还 原 其 配置 。 在 任务 窗 格 中 的 “工具 箱 ” 选 项 卡 中 的 “网 络 对 象 ” 面 板 中 展开 “ 计 
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算 机 集 ”, 右 击 新 定义 的 计算 机 集 ,然后 在 弹出 的 快捷 菜单 中 选择 “导出 选择 的 ”命令 。 选 择 
包含 配置 信息 的 文件 的 保存 位 置 ,并 指定 一 个 名 称 来 描述 其 内 容 , 如 “ 受 限制 计算 机 集 的 导 
出 文件 ”。 单 击 “ 导 出 ”按钮 来 导出 配置 。 

(9) 导出 操作 完成 后 , 单 击 “ 确 定 ”按钮 关闭 状态 对 话 框 。 


【实验 任务 2】 限制 对 Internet 的 访问 


现在 可 以 创建 禁止 计算 机 集 访问 Internet 的 访问 规则 。 请 注意 ,访问 规则 的 顺序 将 影 
响 到 计算 机 集 能 否 访 问 Internet。ISA 服务 器 按 顺序 读 取 访问 规则 , 如果 在 读 取 受 限制 的 
计算 机 集 拒绝 规则 之 前 先 读 取 了 内 部 网 络 允许 规则 ,那么 访问 将 被 允许 。 

要 创建 禁止 从 受 限制 的 计算 机 集 访问 外 部 网 络 的 访问 规则 ,请 执行 下 列 操作 。 

【 实验 步骤 】 

(1) 选择 “防火 墙 策 略 ” 选 项 。 在 任务 窗 格 中 ,打开 “任务 ”选项 卡 , 然 后 单 击 “ 创 建新 的 
访问 规则 ”打开 “新 建 访问 规则 向 导 ” 对 话 框 。 

(2) 在 对 话 框 中 输入 规则 的 名 称 。 例 如 ,输入 “拒绝 受 限 的 计算 机 集 通 过 HTTP 和 
HTTPS 访问 Internet”。 然 后 单 击 “ 下 一 步 ” 按 钮 。 

(3) 在 “规则 操作 ”对 话 框 中 ,选中 “拒绝 " 单 选 按 钮 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

(4) 在 “协议 ”对 话 框 中 的 “此 规则 应 用 到 ”下 拉 列 表 框 中 选择 “所 选 的 协议 ”选项 ,然后 
单 击 “ 添 加 ”按钮 。 

(5) 在 弹出 的 “添加 协议 ”对 话 框 中 ,展开 “通用 协议 ”选项 。 选 择 HTTP 选项 后 单 击 
“添加 ”按钮 ,再 单 击 “ 关 闭 ” 按 钮 。 然 后 单 击 “ 下 一 步 ” 按 钮 。 

(6) 在 “访问 规则 源 ” 对 话 框 中 , 单 击 “ 添 加 ”按钮 。 

(7) 在 “添加 网 络 实体 ”对 话 框 中 ,展开 “计算 机 集 ” 选 项 ,然后 选择 “ 受 限 制 的 计算 机 集 ” 
选项 。 单 击 * 添 加 ”按钮 ,然后 单 击 “ 关 闭 ? 按 钮 。 然 后 单 击 * 下 一 步 ? 按 钮 。 

(8) 在 “访问 规则 目标 ”对 话 框 中 , 单 击 “ 添 加 ”按钮 。 

(9) 在 “添加 网 络 实体 ”对 话 框 中 ,选择 网络” 选项 下 的 “外 部 ”选项 。 单 击 “ 添 加 ”按钮 ， 
然后 单 击 “关闭 ?按钮 。 然 后 单 击 “下 一 步 ? 按 钮 。 

(10) 在 “用 户 集 ” 对 话 框 中 ,验证 是 否 指 定 了 “所 有 用 户 ”, 然 后 单 击 “ 下 一 步 ”按钮 。 

(11) 查看 摘要 页 ,然后 单 击 “ 完 成 ”按钮 。 

(12) 在 详细 信息 窗 格 中 , 单 击 “ 应 用 ”按钮 来 应 用 所 做 的 更 改 。 

(13) 将 规则 保存 到 一 个 . xml 文件 中 ,以 便 在 需要 进行 基本 更 改 ( 如 运行 网 络 模 板 向 
导 ) 时 ,可 以 导入 该 规则 。 在 详细 信息 窗 格 中 , 右 击 新 定义 的 规则 ,然后 在 弹出 的 快捷 菜单 中 
选择 “导出 选择 的 ”命令 。 选 择 包含 配置 信息 的 文件 的 保存 位 置 , 并 指定 一 个 名 称 来 描述 其 
内 容 , 如 “ 受 限制 计算 机 集 的 导出 文件 ”。 单 击 “ 导 出 ”按钮 来 导出 规则 。 

(14) 导出 操作 完成 后 , 单 击 “ 确 定 ” 按 钮 关闭 状态 对 话 框 。 


【实验 任务 3】 测试 该 方案 


为 了 验证 方案 是 否 可 行 , 受 限制 的 计算 机 集中 的 内 网 客户 端 2 将 尝试 访问 外 部 网 络 
(MockInternet) 中 的 外 网 Web 服务 器 。 
在 内 网 客户 端 2 上 ,执行 下 列 操作 。 























222 防火 墙 技术 及 应 用 实践 教程 





【 实验 步骤 】 

(1) 在 内 网 客户 端 2 上 .打开 Internet Explorer 浏览 器 。 

(2) 在 Internet Explorer 中 ,选择 “工具 ”>“Internet 选项 ”命令 ,弹出 “Internet 选项 
对 话 框 。 

(3) 打开 “连接 ”选项 卡 , 单 击 “ 局 域 网 设置 "按钮 ,弹出 “局 域 网 (LAN) 设 置 " 对 话 框 。 

(4) 在 “代理 服务 器 ”选项 区 域 中 ,选中 "为 LAN 使 用 代理 服务 器 " 复 选 框 。 

(5) 在 “地 址 ”文本 框 中 输入 ISA_1 的 计算 机 名 称 ( 或 P 地 址 ,如 果 未 配置 DNS 服务 
器 ) ,在 "端口 "文本 框 中 输入 8080。 

(6) 确保 未 选中 “自动 检测 设置 " 复 选 框 。 

(7) 关闭 Internet Explorer。 然 后 重新 打开 Internet Explorer。 

(8) 在 Internet Explorer 的 “地 址 ”下 拉 列 表 框 中 ,输入 外 网 Web 服务 器 的 IP 地 址 。 

注意 : 如 果 MockInternet 中 存在 可 以 用 来 进行 名 称 解 析 的 DNS 服务 器 ,那么 可 以 输 
入 外 网 Web 服务 器 的 FQDN。 

如 果 浏 览 器 显示 拒绝 访问 页 , 则 说 明成 功 地 配置 了 计算 机 集 和 拒绝 规则 。 

所 创建 的 拒绝 规则 出 现在 “防火 墙 策略 ”详细 信息 窗 格 中 的 访问 规则 列表 的 最 上 面 。 如 
果 将 它 向 下 移动 到 “允许 内 部 客户 端 通过 HTTP 和 HTTPS 访问 Internet” 允 许 规则 (在 前 
一 方案 中 创建 ) 的 下 面 ,那么 ISA 服务 器 将 首先 评估 允许 规则 ,这 样 , 受 限制 的 计算 机 集中 
的 计算 机 将 拥有 Internet 访问 权限 。 

要 更 改 拒绝 规则 的 顺序 ,请 右 击 该 规则 ,在 弹出 的 快捷 菜单 中 选择 “下 移 ” 命 令 。 在 将 拒 
绝 规 则 移动 到 允许 规则 的 下 面 ,并 通过 单 击 详细 信息 窗 格 中 的 “应 用 ”按钮 应 用 了 更 改 后 , 青 
次 测试 Internet 访问 ,内 网 客户 端 2 现在 可 以 访问 Internet。 

如 果 浏 览 器 现在 显示 在 外 网 Web 服务 器 上 发 布 的 网 页 , 则 说 明 内 网 客户 端 2 访问 到 了 
外 网 Web 服务 器 ,此 方案 已 配置 成 功 。 








8.4 发 布 外 围 网 络 中 的 Web 服务 器 


【实验 任务 1】 创建 Web 发 布 规则 


要 创建 允许 Internet 上 的 客户 端 计 算 机 (Externall ) 访 问 外 围 网 络 中 的 Web 服务 器 
(Perimeter_IIS) 的 Web 发 布 规则 ,请 执行 下 列 操作 。 

【实验 步骤 】 

(1) 在 Microsoft ISA 服务 器 管理 中 ,选择 “防火 墙 策略 ”。 

(2) 在 任务 窗 格 的 “任务 ”选项 卡 中 , 单 击发 布 网 站 ”来 启动 新建 Web 发 布 规则 
向 导 ”。 
(3) 在 对 话 框 中 的 “Web 发 布 规则 名 称 ” 文 本 框 中 输入 规则 名 称 “ 允 许 从 外 部 访问 
Perimeter_IIS”, 单 击 * 下 一 步 ? 按 钮 。 

(4) 在 “规则 操作 ”对 话 框 中 ,选中 “允许 ” 单 选 按 钮 ,然后 单 击 “ 下 一 步 ” 按 钮 。 
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(5) 在 “发 布 类 型 ”对话 框 中 ,选中 “发 布 单个 网 站 或 负载 平衡 器 ” 单 选 按 钮 ,然后 单 击 
“下 一 步 * 按 饲 。 

(6) 在 “服务 器 链接 安全 ”对 话 框 中 ,选中 “使 用 不 安全 的 连接 发 布 的 Web 服务 器 或 服 
务 器 场 " 单 选 按 钮 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

(7) 在 “指定 要 发 布 的 网 站 的 内 部 名 称 ” 对 话 框 中 的 “内 部 站 点 名 称 ” 文 本 框 中 输入 外 围 
Web 服务 器 的 名 称 , 如 “Perimeter_IIS 服务 器 ”, 然 后 选中 “使 用 计算 机 名 称 或 IP 地 址 连接 
到 发 布 的 服务 器 ” 复 选 框 ,输入 外 围 网 络 Perimeter_IIS 服务 器 的 IP 地 址 , 单 击 “下 一 步 ” 
按钮 。 

(8) 在 “指定 发 布 的 网 站 的 内 部 路 径 和 发 布 选项 ?对话 框 中 直接 单 击 " 下 一 步 "按钮 。 

(9) 在 “公共 名 称 细节 ”对 话 框 中 ,在 “接受 请 求 ”选项 区 域 中 选中 “任何 域名 ”选项 。 单 
击 “ 下 一 步 ” 按 钮 。 

(10) 在 “选择 Web 侦 听 器 对话 框 中 , 单 击 “ 新 建 " 按 钮 启动 新建 Web 侦 听 器 向 导 ” 对 
话 框 。 

(11) 在 “新 建 Web 侦 听 器 向 导 ” 对 话 框 中 的 “Web 侦 听 器 名 称 ” 文 本 框 中 输入 Web 侦 
听 器 的 名 称 , 侦 听 外 部 网 络 的 端口 80。 然 后 单 击 “ 下 一 步 ” 按 钮 。 

(12) 在 “客户 端 连接 安全 设置 ”对话 框 中 ,选择 “不 需要 与 客户 端 建立 SSL 安全 连接 ”， 
单 击 “ 下 一 步 "按钮 。 

(13) 在 “Web 侦 听 器 IP 地 址 ”对 话 框 中 ,选择 “外 部 ”选项 ,然后 单 击 “ 下 一 步 ” 按 钮 。 这 
样 此 侦 听 器 将 侦 听 来 自 外 部 网 络 的 请 求 。 

(14) 在 “身份 验证 设置 ”对话 框 中 的 “选择 客户 端 将 如 何 向 ISA 服务 器 提供 凭据 ?中 , 选 
择 “ 没 有 身份 验证 ”选项 。 

(15) 在 "单一 登录 设置 "对话 框 中 ,直接 单 击 "下 一 步 ?按钮 。 

(16) 查看 摘要 页 ,然后 单 击 “ 完 成 "按钮 关闭 新 建 Web 侦 听 器 向 导 。 

(17) 在 “选择 Web 侦 听 器 ”对 话 框 中 , 单 击 “ 下 一 步 "按钮 。 

(18) 在 “身份 验证 委派 ”对 话 框 中 的 “选择 ISA 服务 器 对 发 布 的 Web 服务 器 进行 身份 
验证 时 使 用 的 方法 ”中 ,选择 “无 委派 ,客户 端 无 法 直接 进行 身份 验证 "选项 ,然后 单 击 “ 下 一 

(19) 在 “用 户 集 ” 对 话 框 中 ,验证 “此 规则 应 用 于 来 自 以 下 用 户 集 的 请 求 ”列表 框 中 是 否 
列 出 了 “所 有 用 户 ” 选 项 。 单 击 “ 下 一 步 ” 按 钮 。 

(20) 查看 摘要 页 ,然后 单 击 “ 完 成 "按钮 。 

(21) 在 详细 信息 窗 格 中 , 单 击 “ 应 用 ”按钮 来 应 用 所 做 的 更 改 。 

注意 : 可 以 创建 和 修改 Web 侦 听 器 ,而 不 受 Web 发 布 规则 的 限制 。 通 过 防火 墙 策略 
任务 窗 格 中 “工具 箱 ” 选 项 卡 上 的 “Web 侦 听 器 ”面板 ,可 以 访问 现 有 的 Web 侦 听 器 。 要 创 
建新 的 Web 侦 听 器 ,请 在 防火 墙 策略 任务 窗 格 中 的 “工具 箱 ” 选 项 卡 上 单 击 "新建" 按钮 , 然 
后 在 弹出 的 菜单 中 选择 “Web 侦 听 器 "命令 。 


【实验 任务 2】 测试 该 方案 


为 了 验证 方案 是 否 可 行 , 外 部 客户 端 Externall 将 访问 位 于 外 围 网 络 (PerimeterNet) 中 
的 HTTP 服务 器 Perimeter_IIS。 在 Externall 上 ,执行 下 列 操作 。 
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【实验 步骤 】 

(1) 打开 Internet Explorer。 

(2) 确认 没有 配置 代理 客户 端 。 因 此 ,选择 “工具 ”>“Internet 选项 ”命令 。 

在 弹出 的 “Internet 选项 对话 框 中 打开 * 连 接 ? 选 项 卡 , 单 击 “局 域 网 设置 ?按钮 ,在 弹出 
的 “局 域 网 (LAN) 设 置 " 对 话 框 中 确认 未 选中 下 列 任何 复 选 框 :“ 自 动 检测 设置 "“ 使 用 自动 
配置 脚本 ”和 “为 LAN 使 用 代理 服务 器 *。 单 击 “ 确 定 ” 按 钮 关闭 “Internet 选项 ”对 话 框 。 

(3) 在 Internet Explorer 的 地址” 下拉 列 表 框 中 ,输入 ISA 服务 器 计算 机 的 外 部 网 络 
适配器 的 IP 地 址 。 

如 果 客 户 端 访问 到 了 Perimeter_IIS 上 的 默认 网 站 , 则 说 明 此 方案 已 配置 成 功 。 


8.5 发 布 内 部 网 络 中 的 Web 服务 器 


【实验 任务 1】 创建 网 络 规则 


在 安装 时 ,已 创建 了 定义 从 内 部 网 络 到 外 部 网 络 的 NAT 关系 的 默认 网 络 规则 。 要 确 
认 已 正确 配置 了 此 规则 ,请 在 ISA_1 上 执行 下 列 操作 。 

【 实验 步骤 】 

(1) 在 Microsoft ISA 服务 器 管理 中 ,展开 “配置 "节点 ,然后 选择 “网 络 ” 选 项 以 查看 “网 
络 " 详 细 信 息 窗 格 。 

(2) 在 详细 信息 窗 格 中 ,打开 “网 络 规则 ”选项 卡 。 可 以 在 详细 信息 窗 格 中 验证 规则 ,或 
者 按照 如 下 步骤 描述 打开 规则 属性 。 

(3) 双击 “Internet 访问 "规则 打开 “Internet 访问 属性 ”对 话 框 。 

(4) 在 “常规 ”选项 卡 中 ,确认 启用 了 该 规则 。 

(5) 在 “ 源 网 络 ” 选 项 卡 中 ,确认 列 出 了 “内 部 ”网 络 。 

(6) 在 “目标 网 络 ” 选 项 卡 中 ,确认 列 出 了 “外 部 ”网 络 。 

(7) 在 “网 络 关 系 ” 选 项 卡 中 ,确保 选中 了 “网 络 地 址 转换 ”选项 。 


【实验 任务 2】 发 布 Web 服务 器 


使 用 Web 发 布 规则 来 允许 外 部 客户 端 访问 位 于 内 部 网 络 中 的 Web 服务 器 。 

发 布 Web 服务 器 需要 创建 Web 发 布 规则 。 创 建 规则 的 过 程 中 ,还 将 创建 Web 侦 听 
器 ,以 指定 ISA 服务 器 将 在 哪些 IP 地 址 上 侦 听 对 内 部 网 站 的 请 求 。 如 果 仍 然 拥 有 为 外 围 
Web 发 布 方案 创建 的 侦 听 器 ,那么 应 将 其 用 在 此 方案 中 ,而 不 必 创 建新 的 侦 听 器 。 

注意 : 可 以 创建 和 修改 Web 侦 听 器 ,而 不 受 Web 发 布 规则 的 限制 。 通 过 防火 墙 策略 
任务 窗 格 中 “工具 箱 ” 选 项 卡 中 的 “Web 侦 听 器 ”面板 ,可 以 访问 现 有 的 Web 侦 听 器 。 要 创 
建新 的 Web 侦 听 器 ,请 在 防火 墙 策略 任务 窗 格 中 的 “工具 箱 ” 选 项 卡 上 单 击 “ 新 建 ” 按 钮 , 然 
后 在 弹出 的 菜单 中 选择 "Web 侦 听 器 "命令 。 

要 创建 允许 Internet 上 的 客户 端 计算 机 (Externall ) 访 问 内 部 网 络 中 的 Web 服务 器 
(InternalWebServer) 的 Web 发 布 规则 ,请 执行 下 列 操作 。 
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【实验 步骤 】 

(1) 在 Microsoft ISA 服务 器 管理 中 ,选择 “防火 墙 策略 ”选项 。 

(2) 在 任务 窗 格 的 “任务 ”选项 卡 中 , 单 击发 布 网 站 ”来 启动 “新 建 Web 发 布 规则 
向 导 ”。 

(3) 在 对 话 框 中 的 “Web 发 布 规则 名 称 ” 文 本 框 中 ,输入 规则 名 称 “ 允 许 从 外 部 访问 
InternalWebServer”, 单 击 “ 下 一 步 ” 按 钮 。 

(4) 在 “规则 操作 ”对 话 框 中 ,选中 “允许 ” 单 选 按 钮 ,然后 单 击 “ 下 一 步 ”按钮 。 

(5) 在 “发 布 类 型 "对 话 框 中 ,选中 “发 布 单个 网 站 或 负载 平衡 器 " 单 选 按 钮 ,然后 单 击 
“下 一 步 * 按 乌 。 

(6) 在 “服务 器 连接 安全 ”对 话 框 中 ,选中 “使 用 不 安全 的 连接 发 布 的 Web 服务 器 或 服 
务 器 场 " 单 选 按钮 ,然后 单 击 “ 下 一 步 " 按 钮 。 

(7) 在 “指定 要 发 布 的 网 站 的 内 部 名 称 ” 对 话 框 中 的 “内 部 站 点 名 称 ” 文 本 框 中 输入 内 部 
Web 服务 器 的 名 称 ,如 “Perimeter_IIS 服务 器 ” ,然后 选中 “使 用 计算 机 名 称 或 IP 地 址 连接 
到 发 布 的 服务 器 ” 复 选 框 ,输入 内 部 网 络 Perimeter_JIS 服务 器 的 IP 地 址 , 单 击 “ 下 一 步 ” 
按钮 。 

(8) 在 “指定 发 布 的 网 站 的 内 部 路 径 和 发 布 选项 ”对 话 框 中 直接 单 击 “ 下 一 步 ” 按 钮 。 

(9) 在 “公共 名 称 细节 ”对 话 框 中 ,在 “接受 请 求 ”选项 区 域 中 选择 “任何 域名 ”选项 。 单 
击 “ 下 一 步 ” 按 钮 。 

(10) 在 “选择 Web 侦 听 器 ”对 话 框 中 , 单 击 “ 新 建 "按钮 启动 “新 建 Web 侦 听 器 向 导 ” 对 

(11) 在 “新 建 Web 侦 听 器 向 导 ” 对 话 框 中 的 “Web 侦 听 器 名 称 ”文本 框 中 输入 Web 侦 
听 器 的 名 称 " 侦 听 外 部 网 络 的 端口 80”。 然 后 单 击 “ 下 一 步 " 按 钮 。 

(12) 在 “客户 端 连接 安全 设置 ”对 话 框 中 ,选择 “不 需要 与 客户 端 建立 SSL 安全 连接 ”， 
单 击 “ 下 一 步 " 按 钮 。 

(13) 在 “Web 侦 听 器 IP 地 址 ”对 话 框 中 ,选择 “外 部 "选项 ,然后 单 击 " 下 一 步 " 按 钮 。 这 
样 此 侦 听 器 将 侦 听 来 自 外 部 网 络 的 请 求 。 

(14) 在 “身份 验证 设置 ”对话 框 中 的 “选择 客户 端 将 如 何 向 ISA 服务 器 提供 凭据 "中 , 选 
择 “ 没 有 身份 验证 ”选项 。 

(15) 在 “单一 登录 设置 ?对 话 框 中 , 单 击 * 下 一 步 "按钮 。 

(16) 查看 摘要 页 ,然后 单 击 “ 完 成 ”按钮 。 

(17) 在 “选择 Web 侦 听 器 ?对话 框 中 , 单 击 “下 一 步 "按钮 。 

(18) 在 “用 户 集 ” 对 话 框 中 ,验证 在 “此 规则 应 用 于 来 自 以 下 用 户 集 的 请 求 " 列 表 框 中 是 
否 列 出 了 “所 有 用 户 ” 选 项 , 单 击 下 一 步 ” 按 钮 。 

(19) 查看 摘要 页 ,然后 单 击 “完成 ”按钮 。 

(20) 在 详细 信息 窗 格 中 , 单 击 “ 应 用 ”按钮 来 应 用 所 做 的 更 改 。 


【实验 任务 3】 测试 该 方案 


为 了 验证 方案 是 否 可 行 ,外 部 客户 端 Externall 将 访问 位 于 内 部 网 络 (CorpNet) 中 的 
HTTP 服务 器 InternalWebServer。ISA _1 将 代表 InternalWebServer 侦 听 请 求 ,并 依照 
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Web 发 布 规则 将 其 转发 到 InternalWebServer。 
在 Externall 上 ,执行 下 列 操作 。 
【实验 步骤 】 
(1) 打开 Internet Explorer。 
(2) 在 “地 址 ?下 拉 列 表 中 输入 ISA_1 上 的 外 部 适配器 的 IP 地 址 。 
如 果 客 户 端 访问 到 了 InternalWebServer 上 的 默认 网 站 , 则 说 明 此 方案 已 配置 成 功 。 


8.6 配置 VYPN( 虚 拟 专 用 网 络 ) 


【实验 任务 1】 启用 VPN 客户 端 访 问 


在 此 步骤 中 ,将 启用 VPN 客户 端 访 问 。 要 允许 VPN 连接 ,必须 启用 虚拟 专用 网 络 。 
其 他 所 有 VPN 客户 端 属性 都 将 采用 默认 设置 。 这 包括 对 从 内 部 网 络 动态 分 配 的 可 供 连 接 
到 ISA 服务 器 的 客户 端 使 用 的 卫 地 址 池 使 用 默认 设置 。 此 解决 方案 还 假定 存在 动态 分 配 
的 名 称 解析 服务 器 ,VPN 客户 端 可 以 使 用 该 服务 器 来 解析 内 部 网 络 中 的 名 称 。 

要 配置 VPN 属性 ,请 执行 下 列 操作 。 

【 实验 步骤 】 

(1) 在 Microsoft ISA 服务 器 管理 中 ,选择 "虚拟 专用 网 络 (VPN) ?选项 。 

(2) 在 任务 窗 格 中 的 “任务 ”选项 卡 中 , 单 击 “ 启 用 VPN 客户 端 访问 ”。 

(3) 在 详细 信息 窗 格 中 , 单 击 “ 应 用 ”按钮 来 应 用 所 做 的 更 改 。 

注意 : 安装 过 程 中 ,ISA 服务 器 创建 一 条 网 络 规则 ,该 规则 在 VPN 客户 端 与 内 部 网 络 
之 间 建 立 路 由 关系 。 如 果 和 希望 某 些 VPN 客户 端 能 够 访问 其 他 网 络 ,那么 必须 创建 额外 的 
网 络 规则 。VPN 客户 端 与 内 部 网 络 之 间 的 关系 是 路 由 关系 ,因为 目的 是 使 VPN 客户 端 成 
为 内 部 网 络 中 的 一 个 透明 的 部 分 ,并 且 能 够 看 到 内 部 网 络 中 的 计算 机 。 

如 果实 验 室 配置 中 不 包括 为 VPN 客户 端 分 配 IP 地 址 的 DHCP 服务 器 ,那么 ,要 创建 
可 用 于 分 配 地 址 的 静态 地 址 池 ,请 执行 下 列 操作 。 

【实验 步骤 】 

(1) 在 Microsoft ISA 服务 器 管理 中 ,选择 “虚拟 专用 网 络 (VPN) ?选项 。 

(2) 在 任务 窗 格 中 的 “任务 ”选项 卡 中 的 “常规 VPN 配置 "标题 下 , 单 击 “ 定 义 地 址 分 
配 ”。 此 操作 将 打开 “虚拟 专用 网 络 (VPN) 属 性 ”选项 卡 中 的 “地 址 分 配 ” 选 项 卡 。 

(3) 选择 “静态 地 址 池 ”。 

(4) 单 击 “ 添 加 ”按钮 。 在 “IP 地 址 范围 属性 ”对 话 框 中 ,提供 将 分 配给 VPN 客户 端的 
IP 地 址 范围 。( 注 意 : 这 些 地 址 不 能 来 自 内 部 或 外 围 网络 中 包含 的 地 址 范围 ) 

(5) 单 击 “ 确 定 ” 按 钮 。 

(6) 在 详细 信息 窗 格 中 , 单 击 “ 应 用 ”按钮 来 应 用 所 做 的 更 改 。 


【实验 任务 2】 创建 访问 规则 
要 允许 VPN 客户 端 访问 内 部 网 络 中 的 资源 ,必须 创建 访问 规则 。 请 执行 下 列 操作 。 
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【 实验 步骤 】 

(1) 在 Microsoft ISA 服务 器 管理 中 ,选择 “防火 墙 策略 ?选项 。 

(2) 在 任务 窗 格 中 的 “任务 ?选项 卡 中 , 单 击 * 创 建新 的 访问 规则 ”以 启动 “新 建 访问 规则 
向 导 ” 对 话 框 。 

(3) 在 对 话 框 中 输入 规则 的 名 称 。 例 如 ,输入 “允许 VPN 客户 端 访问 内 部 网 络 ”, 然 后 
单 击 “ 下 一 步 ” 按 钮 。 

(4) 在 “规则 操作 ”对 话 框 中 ,选择 “允许 ” 单 选 按 钮 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

(5) 在 “协议 "对话 框 中 的 “此 规则 应 用 到 ”下 拉 列 表 框 中 ,选择 “所 有 出 站 协议 ”选项 ,以 
便 允 许 VPN 客户 端 使 用 任何 协议 访问 内 部 网 络 , 单 击 * 下 一 步 ? 按 钮 。 

(6) 在 “访问 规则 源 ” 对 话 框 中 , 单 击 “ 添 加 ”按钮 。 

(7) 在 “添加 网 络 实体 ”对 话 框 中 ,选择 网络” 选项 下 的 “VPN 客户 端 "选项 。 单 击 “ 添 
加 ”按钮 ,选择 “内 部 ”选项 , 单 击 “ 添 加 ”按钮 ,然后 单 击 “ 关 闭 ” 按 钮 。 然 后 ,在 “访问 规则 源 ” 
对 话 框 中 , 单 击 “ 下 一 步 ”按钮 。 

(8) 在 “访问 规则 目标 ”对 话 框 中 , 单 击 “ 添 加 ”按钮 。 

(9) 在 “添加 网 络 实体 ”对 话 框 中 ,选择 “网 络 ” 选 项 下 的 “内 部 ”选项 。 单 击 “ 添 加 ”按钮 ， 
选择 “VPN 客户 端 "选项 , 单 击 “ 添 加 ”按钮 ,然后 单 击 “ 关 闭 ” 按 钮 。 然 后 ,在 “访问 规则 目标 ” 
对 话 框 中 单 击 “ 下 一 步 ” 按 钮 。 

(10) 在 “用 户 集 ” 对 话 框 中 ,验证 是 否 指 定 了 “所 有 用 户 ”。 单 击 “ 下 一 步 ” 按 钮 。 
然后 单 击 “完成 ”按钮 。 

(12) 在 详细 信息 窗 格 中 , 单 击 * 应 用 ”按钮 来 应 用 所 做 的 更 改 。 

注意 : 通过 在 第 (5) 步 中 选择 协议 ,可 以 限定 VPN 客户 端 可 以 使 用 哪些 协议 与 内 部 网 
络 通信 。 在 这 种 情况 下 ,请 务必 包括 “DNS 查询 ”协议 ,以 便 VPN 客户 端 能 够 解析 内 部 网 络 
中 的 计算 机 的 名 称 。 

还 可 以 创建 相应 的 规则 ,以 便 仅 允许 某 些 用 户 访问 特定 的 计算 机 ,或 者 访问 公司 网 络 中 
独立 于 内 部 网 络 而 单独 定义 的 部 分 。 


【实验 任务 3】 创建 带 有 拨号 权限 的 Windows 用 户 


要 使 VPN 客户 端 能 够 拔 入 到 网 络 ,必须 在 CorpNet 上 创建 拥有 拨 入 权限 的 用 户 。 
用 户 可 以 是 域 用 户 , 也 可 以 是 ISA 服务 器 计算 机 上 的 本 地 用 户 。 或 者 是 后 台 创 建 一 个 
RADIUS 验证 服务 器 上 的 用 户 ,VPN 客户 端 将 采用 该 用 户 通过 身份 验证 。 请 执行 下 列 
操作 。 

【实验 步骤 】 

(1) 在 ISA_1 的 桌面 上 右 击 “ 我 的 电脑 ”, 在 弹出 的 快捷 菜单 中 选择 “管理 ”命令 ,打开 
“计算 机 管理 ”。 

(2) 在 “计算 机 管理 ”窗口 中 ,双击 “计算 机 管理 (本 地 )”, 展 开 “ 系 统 工具 ”, 然 后 单 击 “ 本 
地 用 户 和 组 ”选项 。 

(3) 在 详细 信息 窗 格 中 ,右键 单 击 " 用 户 ” 选 项 ,在 弹出 的 快捷 菜单 中 选择 “新 用 户 ” 


命令 。 
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(4) 输入 用 户 详 细 信 息 ,然后 单 击 “ 创 建 ”按钮 。 

(5) 在 详细 信息 窗 格 中 ,双击 用户” 以 显示 用 户 列 表 , 右 键 单 击 “ 新 用 户 ”, 在 弹出 的 快 
捷 菜 单 中 选择 “属性 ”命令 。 

(6) 在 “ 挨 入 "选项 卡 中 ,选中 “允许 访问 " 单 选 按钮 ,然后 单 击 “ 确 定 ” 按 钮 。 


【实验 任务 4】 创建 网 络 拨号 连接 


VPN 客户 端 创建 可 以 在 拨 入 到 CorpNet 时 使 用 的 新 连接 。 在 Externall 上 ,执行 下 列 
操作 。 

【实验 步骤 】 

(1) 单 击 “开始 ?按钮 ,选择 “控制 面板 ?选项 ,双击 “网 络 连接 ”按钮 。 

(2) 在 “文件 ?菜单 上 ,选择 “新 建 连接 ”, 打 开 * 新 建 连接 向 导 ? 对 话 框 。 

(3) 在 欢迎 界面 中 单 击 “下 一 步 ?按钮 。 

(4) 在 “网 络 连 接 类 型 ”对话 框 中 ,选择 “连接 到 我 的 工作 场所 的 网 络 ” 单 选 按钮 ,然后 单 
击 “ 下 一 步 ” 按 钮 。 

(5) 在 “网 络 连 接 ” 对 话 框 中 ,选中 “虚拟 专用 网 络 连 接 " 单 选 按钮 ,然后 单 击 “ 下 一 步 ” 
按钮 。 

(6) 在 “连接 名 ”对 话 框 中 的 “公司 名 ”文本 框 中 ,输入 “连接 到 ISA_1”, 然 后 单 击 “下 一 
步 " 按 钮 。 

(7) 在 “公用 网 络 ” 对 话 框 中 ,选择 是 否 希望 Windows 自动 拨打 与 网 络 的 初始 连接 ,以 
及 拨打 哪个 连接 ,然后 单 击 “ 下 一 步 ” 按 钮 。 

(8) 在 “VPN 服务 器 选择 ”对 话 框 中 的 “主机 名 或 IP 地 址 ”文本 框 中 ,选择 外 部 网 络 适 
配器 的 IP 地 址 ,然后 单 击 “ 下 一 步 " 按 钮 。 

(9) 在 “可 用 连接 ”对 话 框 中 ,选择 “只 是 我 使 用 ”选项 ,以 确保 只 有 在 用 户 本 人 登录 到 客 
户 端 计算 机 上 时 才 使 用 VPN 连接 ,然后 单 击 * 下 一 步 ?按钮 。 

(10) 查看 摘要 页 ,然后 单 击 “ 完 成 ”按钮 。 

【实验 任务 5】 测试 该 方案 

为 了 验证 方案 是 否 可 行 , VPN 客户 端 Externall 将 访问 内 部 网 络 中 的 计算 机 。 在 
Externall 上 ,执行 下 列 操作 。 

【实验 和 步骤】 

(1) 单 击 “ 开 始 ” 一 “连接 到 ”一 “连接 到 ISA_1 ”命令 。 

(2) 在 “ISA_1\ 用 户 名 ”文本 框 中 .输入 创建 的 用 户 的 名 称 。 然 后 单 击 “ 连 接 ” 按 钮 。 

如 果 连 接 建立 , 则 说 明 此 方案 已 配置 成 功 。 由 于 之 前 已 经 建立 了 一 条 允许 VPN 客户 
端 与 内 部 网 络 之 间 的 所 有 通信 ,连接 后 可 以 尝试 访问 内 部 网 络 的 共享 资源 或 者 ping 等 。 
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9.1 TMG 防火 墙 的 安装 


Forefront TMG( 简 称 TMG) 是 一 个 高 级 状态 检测 以 及 应 用 层 检 测 防火 墙 ,同时 还 包括 
VPN 以 及 Web 缓存 ,能 够 最 大 化 利用 现 有 投资 ,提升 信息 安全 和 性 能 。 它 是 微软 安全 战略 
架构 Forefront 中 的 新 成 员 , 替换 原来 的 Microsoft Internet Security and Acceleration 
(CISA) ,成 为 下 一 代 网 络 边缘 防护 产品 。 基 于 状态 检测 是 TMG 的 一 个 亮点 ,由 此 Forefront 
网 络 边缘 防护 覆盖 了 OSI 7 层 模型 中 的 上 5 层 , 即 网 络 层 、 传 输 层 、 会 话 层 . 表 示 层 、 应 用 层 ， 
让 网 络 安全 防护 更 加 安全 。 

【实验 名 称 】 

TMG 防火 墙 的 安装 。 

【实验 日 的 】 

熟练 地 掌握 企业 级 防火 墙 TMG 的 安装 。 

【实验 托 相 】 





TMG 


【实验 设备 】 


一 台 装 有 Windows Server 2008 R2 系统 的 计算 机 ,两 台 测试 计算 机 。 
【硬件 需求 】 
硬件 需求 如 表 9-1 所 示 。 

















表 9-1 
三 以 最 低 要 求 
CPU 64 位 ,1.86GHz, 双 内 核 (1 CPU x 双核 ) 处 理 器 





内 存 2GB.1GHz RAM 
2.5GB 可 用 空间 。 这 不 包括 在 恶意 软件 检查 期 间 缓存 或 临时 存储 文件 所 需 的 硬 
盘 空 间 。 一 个 采用 NTFS 文件 系统 格式 的 本 地 硬盘 分 区 





硬盘 








网 络 适 配器 最 少 两 块 网 卡 ,一 块 接 内 网 ,一 块 接 外 网 
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【软件 需求 】 
软件 需求 如 表 9-2 所 示 。 
表 92 
软 件 最 低 要 求 
操作 系统 Windows Server 2008 x64 
入 版 本 : SP2 或 R2 版 本 : Standard、Enterprise 或 Datacenter 
这 些 角色 和 功能 由 Forefront TMG 准备 工具 安装 : 
。 网 络 策略 服务 器 。 
和 。 路 由 和 远程 访问 服务 。 

Windows 和 _， 

角色 和 功能 。 Active Directory 轻型 目录 服务 工具 。 
。 网 络 负载 平衡 工具 。 
。 Windows PowerShell, 
可 以 从 Forefront TMG 自动 运行 页 面 运行 准备 工具 
。 Microsoft . NET Framework 3.5 SP1 
。 Windows Web 服务 API1 

其 他 软件 。 Windows Update 
。 Microsoft Windows lnstaller 4.5 

【实验 原理 】 

安装 企业 级 防火 墙 TMG ,保护 内 网 的 安全 。 

【实验 步骤 】 


(1) 双击 autorun. exe 程序 ,运行 安装 程序 ,如 图 9-2 所 示 。 
RA 


EE 





autorunfiles 201173/21 11:32 ”文件 夹 
dient 2011/3/21 11:32 文件 夹 
国 zc 2011/3/21 11:33 ”文件 夹 
Gr 2009/11f8 16:02 ”JIL 应 用 程序 
[> Ea 2009/918 12:16 ”图 标 
国 aatorm 2009/9/8 12:16 安装 信息 
名 License 200971173 11:57 RTF 文档 
回 :ssh 200971178 16:02 ”本 员 应 用 程序 


9-1 TMG 安装 1 
(2) 单 击 “ 运 行 准备 工具 ”, 如 图 9-2 所 示 。 


(3) 选择 默认 的 “Forefront TMG 服务 和 管理 ”选项 ,如 图 9-3 所 示 。 
(4) 系统 就 会 自动 运行 TMG 安装 准备 工具 , 单 击 “ 完 成 ”按钮 ,如 图 9-4 所 示 。 
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图 9-2 TMG 安装 2 


安装 天 型 
远 择 计算 机 的 Porefront TW 安装 类 型 





图 9-3 TMG 安装 3 


反 启动 Ferefrent T85 安装 向 导 





图 9-4 TMG 安装 4 
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图 9-5 TMG 安装 5 


(6) 输入 用 户 名 等 信息 , 单 击 "下 一 步 "按钮 ,如 图 9-6 所 示 。 


ED 6 企业 安装 向 导 








图 9-6 TMG 安装 6 


(7) 安装 程序 会 出 现 “ 安 装 方案 "的 提示 ,选择 默认 值 , 单 击 " 下 一 步 " 按 钮 ,如 图 9-7 所 示 。 





图 9-7 TMG 安装 7 


第 9 章 企业 级 防火 墙 TMG 的 部 署 233 





(8) 指定 安装 程序 的 路 径 , 选 择 好 路 径 后 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 9-8 所 示 。 








图 9-8 TMG 安装 8 


(9) 安装 程序 弹出 对 话 框 ,需要 指定 内 部 网 络 , 可 以 添加 网 段 ,也 可 以 添加 网 卡 ,如 图 9-9 


所 示 。 
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(10) 更 改 内 部 网 络 的 IP 段 ,如 图 9-10 所 示 。 


| 


192. 168. 89.0-192 188. 89. 255 








图 9-10 TMG 安装 10 


(11) 安装 过 程 中 会 提示 ,在 安装 过 程 中 需要 重启 和 停止 的 服务 ,如 图 9-11 所 示 。 


低 了 orefront TWG 企业 安装 向 导 : 








图 9-11 TMG 安装 11 


(12) 安装 程序 进度 如 图 9-12 所 示 。 


间 了 orefront TWG 企业 安装 向 导 








图 9-12 TMG 安装 12 


第 9 章 企业 级 防火 墙 TMG 的 部 署 235 





(13) 安装 中 会 出 现 安装 向 导 进 展 ,如 图 9-13 所 示 。 





图 9-13 TMG 安装 13 


(14) 安装 完成 ,会 出 现 安装 向 导 完 成 界面 ,如 图 9-14 所 示 。 








图 9-14 TMG 安装 14 


9.2 TMG 的 基本 配置 


【实验 名 称 】 

TMG 的 基本 配置 。 

【实验 日 的 】 

对 企业 级 防火 墙 TMG 进行 设置 ,启用 防火 墙 。 
【实验 拓扑 】 
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【实验 设备 】 

一 台 装 有 企业 级 防火 墙 TMG 的 Windows Server 2008 R2 系统 计算 机 ,两 台 测 试 计 
算 机 。 

【实验 步骤 】 

(1) 单 击 “ 开 始 ” 按 钮 , 单 击 *Forefront TMG 管理 ”, 如 图 9-15 所 示 。 


医 Internet Explorer 64 位 ) 
敬 Htarnet Explorer 
indows Update 
BM Microsoft Forefront THG 

国 Forefront TWG 管理 

区 Foretront TNG 性 能 监视 器 
BB Microsoft SQL Server 2008 


测定 虹 I 具 


由 有 
出 维护 








图 9-15 TMG 配置 1 


(2) 在 "入门 向 导 ” 界 面 中 ,需要 遵循 三 个 步骤 进行 一 步 步 配置 , 单 击 配 置 网 络 设置 ”， 


如 图 9-16 所 示 。 





图 9-16 TMG 配置 2 
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(3) 在 “网 络 模板 选择 "界面 中 ,选择 "边缘 防火 墙 ? 选 项 ,如 图 9-17 所 示 。 














9-17 TMG 配置 3 


(4) 为 局 域 网 (LAN) 进 行 设置 ,为 防火 墙 配置 IP 地 址 等 信息 ,如 图 9-18 所 示 。 





192 .188 . 89 .204 
255 .255 .255 . 0 


192 .168 . 89 .202 








图 9-18 TMG 配置 4 


(5) 为 防火 墙 (WAN) 进 行 设置 ,如 图 9-19 所 示 。 
(6) 网 络 安装 向 导 完 成 ,如 图 9-20 所 示 。 
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TInt 


ernet 设置 
根据 Internet 服务 提供 商 CS) 提供 的 信息 设置 Internet 设置 。 





[202 .101 .172 .46 | 


正在 完成 网 络 安 装 向 导 


Y gy 信和 所 成风 雪 投身 号 。 网 络 将 具有 以 下 配 
YM 








图 9-20 TMG 配置 6 


(7) 完成 “配置 网 络 设置 ", 进 入 入门 向 导 ? 界 面 ,进行 “配置 系统 设置 "的 操作 ,如 图 9-21 
所 示 。 

(8) 在 “系统 配置 向 导 ” 界 面 中 ,可 以 看 到 本 地 计算 机 名 ,成 员 中 可 以 选择 “Windows 域 ” 
或 者 “工作 组 ”, 可 以 更 改 主 DNS 后 级 ,如 图 9-22 所 示 。 

(9) 完成 系统 的 配置 ,如 图 9-23 所 示 。 

(10) 现在 设置 “定义 部 署 选项 ”, 如 图 9-24 所 示 。 
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图 9-21 TMG 配置 7 











9-23 TMG 配置 9 9-24 TMG 配置 10 
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(11)“Microsoft Update 设置 ”选择 “使 用 Microsoft Update 服务 检查 更 新 ”, 如 图 9-25 
所 示 。 





Nicrosoft Vpdate 设置 
使 用 胆 erosoft Update 服务 帮助 保持 您 的 计算 机 安全 和 最 新 > 











9-25 TMG 配置 11 


(12) 企业 级 防火 墙 TMG 是 微软 公司 为 企业 网 络 定制 的 ,所 以 要 收费 (为 了 实验 需 
要 ,可 以 在 网 上 搜索 许可 证 )。 选 择 激活 许可 证 的 方式 ,选择 默认 激活 方式 ,如 图 9-26 
所 示 。 





入 门 -部署 向 导 


Forefront TBG 保护 功能 设置 
使 用 此 页 涩 活 接收 更 新 所 需 的 许可 证 ， 并 启用 Forefront TMG 保护 机 制 。 
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(13) 企业 级 防火 墙 TMG 不 仅 要 设置 许可 证 的 更 新 ,还 要 设置 NIS 签名 更 新 设置 , 选 
择 默 认 值 ,如 图 9-27 所 示 。 











图 9-27 TMG 配置 13 


(14) TMG 以 服务 为 主 , 会 向 用 户 提供 相应 的 服务 ,也 需要 客户 的 反馈 。 在 实验 阶段 ， 
选择 “ 否 ” 选 项 ,如 图 9-28 所 示 。 


客户 反馈 
我 们 流 请 您 萝 加 客户 体验 欢 艾 计划 ， 帮助 我 们 改进 该 产品 的 质量 、 可 靠 性 和 性 能 。 











图 9-28 TMG 配置 14 


(15) 微软 公司 会 向 客户 提供 远程 服务 ,包括 : 基本 、 高 级 、 无 。 用 作 实 验 ,选择 “无 ”, 如 
图 9-29 所 示 。 
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9-29 TMG 配置 15 


(16) 完成 部 署 ,如 图 9-30 所 示 。 








图 9-30 TMG 配置 16 


9.3 内 网 互 访 策略 


【实验 名 称 】 

内 网 互 访 策略 。 

【实验 日 的 】 

实现 企业 级 防火 墙 TMG 内 部 网 络 之 间 的 通信 。 


TMG 安装 完成 ,默认 的 规则 是 阻止 所 有 网 络 通信 ,不 能 ping 通 客户 端 和 TMG 服务 
器 ,所 以 首先 建立 内 网 互 访 策略 。 
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【实验 拓扑 】 





【实验 设备 】 
一 台 装 有 企业 级 防火 墙 TMG 的 Windows Server 2008 R2 系统 计算 机 ,两 台 测 试 计算 机 。 
【实验 原理 】 
让 内 部 网 络 之 间 的 通信 经 过 企业 级 防火 墙 TMG 的 过 滤 , 实 现 内 部 网 络 之 间 的 安全 通信 。 
【实验 步骤 】 


(1) 打开 TMG 防火 墙 , 右 击 “防火 墙 策 略 ” 选 项 ,弹出 快捷 菜单 , 单 击 “ 新 建 ”一 “访问 规 
则 ”命令 ,如 图 9-31 所 示 。 





图 9-31 内 网 互 访 策略 1 
(2) 输入 访问 规则 名 称 , 根 据 自己 的 需求 自 定义 名 称 , 如 图 9-32 所 示 。 


因 建 态 问 规则 加 一 


欢迎 使 用 新 建 访问 规则 向 导 








9-32 ”内 网 互 访 策略 2 
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(3) 在 符合 规则 条 件 时 要 执行 的 操作 ,选择 “允许 ”, 如 图 9-33 所 示 。 


新 建 访 问 规则 向 导 





规则 操作 
机 中 括 二 条 人 两 中 时， 用 于 外 理 广内 插 定 目 恒 


图 9-33 内 网 互 访 策略 3 








图 9-34 内 网 互 访 策略 4 


(5) 在 恶意 软件 检查 的 选择 中 ,选择 “对 该 规则 启用 恶意 软件 检查 ”, 如 图 9-35 所 示 。 


恶意 软件 检查 
选择 恶意 软件 检查 设置 。 





图 9-35 内 网 互 访 策略 5 


(6) 在 访问 规则 源 中 ,需要 添加 内 部 网 络 , 单 击 “ 添 加 "按钮 ,选择 “内 部 ”网 络 ,如 图 9-36 
所 示 。 


访问 规则 源 
此 规 刚 将 应 用 于 来 自 此 页 指定 源 的 通讯 。 





图 9-36 内 网 互 访 策略 6 
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(7) 在 用 户 集 的 选择 中 ,需要 添加 指定 的 用 户 , 单 击 * 添 加 ”按钮 ,选择 “所 有 通过 身份 验 
证 的 用 户 ”, 如 图 9-37 所 示 。 








图 9-37 内 网 互 访 策略 7 
(8) 完成 配置 ,如 图 9-38 所 示 。 


基建 访问 规则 回忆 





正在 完成 新 建 访问 规则 向 导 


Fi 访问 规则 向 导 。 新 访问 规则 的 






SSSSSSSS 


bk 


7 


图 9-38 内 网 互 访 策略 8 


9.4 ”Web 访问 策略 


【实验 名 称 】 
Web 访问 策略 。 
【实验 日 的 】 


通过 对 TMG 的 设置 ,可 以 使 客户 端 访问 外 网 ,并 可 以 阻止 不 良 信息 对 客户 端的 影响 。 
【实验 拓扑 】 
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【实验 设备 】 

一 台 装 有 企业 级 防火 墙 TMG 的 Windows Server 2008 R2 系统 计算 机 ,两 台 测 试 计 
算 机 。 

【实验 步骤 】 

(1) 打开 TMG 防火 墙 , 单 击 "Web 访问 策略 "选项 ,如 图 9-39 所 示 。 





欢迎 使 用 Web 访问 策略 向 导 





9-39 ”Web 访问 策略 1 
(2) 设置 规则 ,阻止 内 部 访问 恶意 的 URL, 单 击 “ 是 ”选项 ,如 图 9-40 所 示 。 


许 所 有 内 部 用 户 访问 Internet 的 默认 规则 。 您 也 可 以 创建 默认 的 阻止 








图 9-40 ”Web 访问 策略 2 


(3) 选择 需要 阻止 访问 的 Web 目标 ,如 图 9-41 所 示 。 

(4) 选择 不 受 Web 访问 限制 的 用 户 ,如 图 9-42 所 示 。 

(5) 选择 是 否 检 查 网 页 中 存在 的 恶意 对 象 ,为 了 安全 起 见 , 选 择 是 ”选项 ,如 图 9-43 
所 示 。 
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EREIEETEE 
月 止 的 Yey 目标 


将 @ 键 规则 “ 阳 止 的 Yeb 目标 ”*。 可 以 在 此 向 叶 的 下 一 页 中 定义 该 规 J 和 9 多 榴 h 情 况 。 


图 9-41 Web 访问 策略 3 


| 目标 例外 
Wa ERwamm。 


图 9-42 ”Web 访问 策略 4 


sa. 将 扫 自 从 Interaet 请 求 的 TTP 内 容 是 否 有 下 意 软件 ,如 
. 


9-43 ”Web 访问 策略 5 
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(6) 是 否 检查 加 密 连 接 (一 般 的 加 密 页 面 很 少 有 恶意 软件 ,如 果 选 择 检查 ,有 可 能 把 加 
密 页 面 的 证 书 、. 相 关 网 站 的 控件 等 阻止 ,所 以 应 根据 需求 选择 ) ,如 图 9-44 所 示 。 











图 9-44 Web 访问 策略 6 
(7) 设置 缓存 大 小 ,根据 默认 设置 ,如 图 9-45 所 示 。 


Yeh 经 存 配置 
配置 了 组 在 后 ， 频 繁 访 问 的 Yeb 内 容 符 存 信 在 组 存 中 。 


义 振 存 驱动 否 





图 9-45 ”Web 访问 策略 7 
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(8) 完成 配置 ,如 图 9-46 所 示 。 








正在 完成 Web 访问 策略 向 导 

RS 
Oe tn 日 
Nf 


图 9-46 ”Web 访问 策略 8 
(9) 单 击 “ 应 用 ”按钮 ,生效 之 前 的 配置 ,建议 重启 ,如 图 9-47 所 示 。 





orefront 
Threat Management Gateway 2010 


A Bl | wn ne"eR". 


因 导出 倘 份 145/ 本 和 
国 导入 撑 原 ] 阵 列 可 叶 
轩 参 与 hieroroft imhg 告 


国 smemagserspmsaski 
使 用 Forefiont TMG 的 入 全 防 部 系统 (了 5) 保护 8 纵向 络 攻击 
寺 动 避 有 司 能 有 到 由 的 计 其 机 * 


9-47 “Web 访问 策略 9 
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10.1 项 目 实践 的 特点 


1. 基本 情况 
学 生成 立 3 或 4 人 的 项 目 组 ,在 实践 中 学 生 以 项 目 小 组 的 形式 开展 自主 学 习 , 同 时 ， 
项 目 小 组 要 完成 指定 的 虚拟 企业 基于 防火 墙 技 术 的 网 络 安全 的 设计 开发 工作 。 在 防火 墙 系 
统 设计 过 程 中 要 求 项 目 组 中 学 生 积极 相互 配合 ,共同 学 习 和 开发 项 目 。 项 目 经 理 (组 长 ) 组 
织 学 生 进 行 讨论 学 习 中 和 开发 过 程 中 的 问题 ,在 团队 中 每 一 个 同学 均 要 扮演 一 定 的 角色 和 
承担 一 定 的 工作 。 

2. 设计 理念 

结合 实际 需求 ,设计 尽 可 能 贴近 真实 环境 的 防火 墙 技术 实践 环节 ,并 提供 学 生 有 兴趣 进 
行 深 入 学 习 的 资料 和 奖励 机 制 ,使 学 生 能 够 自主 学 习 和 实践 ,并 感受 到 实践 成 功 后 的 乐趣 。 

3. 设计 思路 

注重 理论 联系 实践 ,由 浅 入 深 介绍 防火 墙 技术 知识 ,结合 当前 防火 墙 技术 的 开发 与 应 用 
理解 知识 点 ,使 学 生 较 快 掌握 防火 墙 技术 并 能 应 用 到 实际 需要 中 解决 问题 ,使 学 生 尽 可 能 在 
校内 学 习 企业 中 所 需要 的 技术 ,实现 学 业 到 就 业 的 无 颖 衔接 。 























10.2 ABC 科技 公司 基于 防火 墙 系统 的 
网 络 安 全 分 析 与 设计 


10.2.1 项 目 实 施 方案 


【 项目 任 务 】 

(1) 建立 公司 的 防火 墙 系统 ,实现 企业 内 部 网 络 的 安全 需求 功能 。 

(2) 部 署 与 配置 防火 墙 保 圣 主机 ; 能 够 实现 包 过 滤 、 代 理 功能 .VPN 的 配置 ; 防火 墙 服 
务 器 发 布 功能 ,以 提高 内 网 对 外 网 的 攻击 抵抗 能 力 。 

(3) 监视 和 报告 : 可 以 对 防火 墙 进行 实时 监控 ,实现 对 防火 墙 会 话 的 实时 监控 和 过 滤 。 

(4) 对 内 网 的 网 络 进行 合理 配置 ,不 断 完善 防火 墙 日 志 功 能 。 

【和 要求 】 

(1) 收集 防火 墙 技 术 资 料 , 设 计 该 企业 防火 墙 的 功能 及 任务 ; 

(2) 进行 深层 次 的 研究 ,不 断 完善 课题 设计 ; 

(3) 按 任务 需求 完成 各 功能 的 设计 ; 
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(4) 完成 后 进行 调试 。 

1. 目的 和 意义 

ABC 科技 公司 的 防火 墙 是 该 公司 信息 的 唯一 出 入 口 ,需要 有 和 较 强 的 抗 攻 击 能 力 , 保 证 
公司 内 部 网 络 的 安全 ,对 外 能 够 阻止 外 部 的 攻击 。 利 用 ISA 2006 部 署 防火 墙 系统 架构 。 应 
用 包 过 滤 和 NAT 等 技术 对 外 部 一 些 敏感 资源 和 主机 进行 控制 .屏蔽 内 部 网 络 结构 ,网 络 地 
址 转换 节约 IP 地 址 。 代 理 功 能 的 配置 ,提高 公司 防火 墙 的 防 攻击 能 力 。 监 视 和 报告 : 可 以 
实时 监控 防火 墙 .Web Proxy 和 SMTP 邮件 的 日 志 ; 对 防火 墙 会 话 的 实时 监控 和 过 滤 ; 连 
接 验 证 器 。 管 理 导入 和 导出 配置 信息 的 能 力 ,简化 了 重复 的 配置 工作 。 对 内 网 进行 优化 ,内 
网 之 间 设 置 策略 完善 网 络 。 

在 ABC 科技 公司 网 络 安全 保障 的 需求 下 ,开发 防火 墙 系统 。 在 保证 安全 的 任务 下 能 够 
处 理 各 项 企业 事务 的 需要 。 对 网 络 安全 进行 系统 的 管理 ,提高 整个 网 络 活动 安全 性 。 本 课 
题 围绕 企业 防火 墙 系统 的 设计 与 实现 ,参考 相关 的 资料 ,设计 出 应 对 企业 管理 的 一 些 功 能 。 
主要 利用 ISA 2006 结合 网 络 管理 和 防火 墙 技 术 , 对 于 该 系统 进行 设计 和 开发 。 在 完成 功能 
设计 后 ,可 以 使 公司 的 防火 墙 系统 具有 提供 信息 安全 服务 ,实现 网 络 和 信息 安全 的 功能 。 

2, 背景 及 国内 外 发 展 情况 

在 企业 的 发 展 过 程 中 ,网 络 成 为 企业 一 种 必 不 可 少 的 资源 或 者 工具 。 然 而 随 着 
Internet 技术 在 商务 领域 应 用 的 不 断 发 展 和 普及 ,网 络 和 信息 安全 的 重要 性 日 益 突 出 。 根 
据 国 际 著名 病毒 研究 机 构 ICSA(International Computer Security Association ,国际 计算 机 
安全 联盟 ) 的 统计 ,目前 通过 磁盘 传播 的 病毒 仅 占 7%, 剩 下 93% 的 病毒 来 自 网 络 , 其 中 包括 
Email、 网 页 .QQ 和 MSN 等 传播 渠道 。 网 络 安全 问题 的 日 益 严峻 ,使 得 作为 企业 的 管理 者 ， 
把 保障 企业 网 络 安全 作为 一 个 重要 的 议题 。 

ABC 科技 公司 作为 一 家 高 新 技术 公司 ,在 这 方面 需要 做 的 更 加 突出 。 安 装 ISA2006 防 
火 墙 对 网 络 规则 进行 适当 配置 ,监控 进出 网 络 的 信息 流 , 并 有 效 防范 黑客 攻击 ,保护 公司 内 
部 网 络 与 信息 的 安全 。 针 对 公司 内 部 员工 使 用 即时 聊天 工具 、P2P 下 载 ,访问 不 良 网 站 等 进 
行 必要 的 限制 。 而 这 些 限制 都 需要 用 对 ISA2006 访问 控制 策略 进行 配置 。 另 外 ,对 防火 墙 
的 一 系列 事件 进行 日 志 的 监视 和 报告 ,能 做 适当 的 报警 。 针 对 该 背景 ,作为 一 种 保护 内 部 网 
络 的 重要 手段 ,对 防火 墙 的 安全 规划 与 实施 越 来 越 受 到 重视 。 

3. 研究 的 主要 内 容 

部 署 网 络 结构 ,利用 ISA2006 实现 以 下 功能 需求 。 

(1) 防止 拒绝 服务 攻击 ,配置 DMZ(Demilitarized Zone, 隔 离 区 )、NAT, 基 于 每 个 策略 
的 HTTP 过 滤 。 

(2) 包 过 滤 、 代 理 功 能 的 配置 ,提高 防火 墙 的 防 攻击 能 力 。 

(3) 对 内 网 进行 优化 ,内 网 之 间 设 置 策略 完善 的 防火 墙 系统 ,使 其 具有 提供 信息 安全 服 
务 , 实 现 网 络 管理 的 功能 。 

4. 拟 解 决 的 关键 问题 

在 内 部 网 络 方面 .使 用 NAT 技术 隐藏 内 部 网 络 结构 ,保护 内 部 信息 安全 ,防止 信息 外 
泄 , 对 一 些 敏感 区 域 进行 重点 防护 。 

检查 IP 包头 ,根据 IP 源 地 址 和 目的 地 址 针对 性 地 对 外 部 一 些 站 点 进行 屏蔽 ,控制 外 部 
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一 些 非 正常 访问 。 关 键 之 处 是 如 何 判 断 和 定义 哪些 是 非 正常 访问 。 其 中 如 果 能 够 对 服务 器 
进行 监视 报警 ,可 让 管理 员 及 时 采取 措施 。 

5. 解决 问题 的 思路 和 方法 

(1) 对 本 企业 网 络 安全 基于 防火 墙 的 架构 设计 ; 

(2) 对 网 络 安全 风险 进行 分 析 并 确定 防火 墙 实施 方案 及 设计 ; 

(3) 对 防火 墙 技术 的 教材 再 进行 深入 的 重新 学 习 , 然 后 充分 利用 网 络 和 图 书馆 这 些 平 
台 , 查 资料 和 参考 ; 

(4) 在 安装 和 配置 ISA2006 过 程 中 利用 帮助 文件 或 者 网 上 搜索 ,积极 联系 指导 老师 来 
探讨 和 分 析 设 计 中 出 现 的 问题 ,以 达到 解决 问题 和 完善 设计 内 容 , 提 升 内 容 价值 的 目的 。 


10.2.2 防火 墙 架 构 设 计 


1. 网 络 架 构 

(1) N 台 PC: 提供 给 公司 员工 办 公使 用 。 

(2) 千 兆 交换 机 一 台 : 用 于 连接 内 网 ,员工 使 用 的 PC 进行 通信 。 

(3) 中 心 交 换 机 一 台 : 连接 各 个 公司 内 网 服务 器 和 员工 PC, 达 到 内 网 通信 目的 。 

(4) 边界 路 由 器 一 台 : 对 内 连接 内 网 ,对 外 连接 Internet, 使 得 内 网 与 外 网 连通 ,内 外 网 
可 以 通信 ,网 络 拓 扑 如 图 10-1 所 示 。 

















VPN 远 程 登录 






领导 办 公 室 边界 路 由 器 


防火 墙 DMZ 区 域 


员工 办 公 室 


IT 管理 办 公 室 





邮件 服务 器 FTP 服 务 器 NAT 服 务 吕 Web 服 务 器 


图 10-1 网 络 拓扑 1 


2. 网 络 安全 架构 模块 
现 公 司 网 络 安全 的 规划 与 实施 ,并 采用 软件 防火 墙 产 品 ISA 2006 进行 具体 的 实施 架 

构 , 功 能 模块 如 下 。 
模块 1: 搭建 模拟 平台 (通过 虚拟 机 进行 模拟 规划 实施 ) ,构建 系统 平台 (通过 安装 
ISA2006 实现 防火 墙 功能 规划 实施 ) ,使 得 各 种 网 络 安全 防范 措施 能 够 在 此 平台 上 搭建 。 
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模块 2: 创建 活动 目录 (AD) ,组 建 基于 域 的 局 域 网 ,方便 员工 通过 内 部 网 络 安全 方便 地 
交流 。 

模块 3; 对 堡垒 主机 配置 代理 服务 ,通过 代理 连接 Internet, 且 内 网 能 互相 访问 ,使 得 内 
部 员工 的 上 网 行为 安全 可 行 。 

模块 4; 根据 公司 业务 需求 ,建设 并 发 布 公司 官方 网 站 服务 器 、FTP 服务 器 、 邮 件 服务 
器 ,使 得 公司 及 员工 能 够 正常 开展 业务 ,也 方便 客户 了 解 公司 的 业务 及 其 他 各 项 情况 。 

模块 5: 创建 NAT 服务 器 (Network Address Translation ,网 络 地 址 转换 ) ,从 而 屏蔽 内 
网 结构 ,使 之 不 易 被 外 部 了 解 发 现 ,使 得 外 部 网 络 不 易 攻 击 公 司 内 网 。 

模块 6: 构建 公司 的 虚拟 专用 网 络 (VPN) ,实现 员工 的 远程 接 和 ,安全 地 通过 Internet 
访问 公司 内 部 网 络 。 

模块 7: 使 用 软件 防火 墙 ISA 2006 的 监视 功能 ,创建 会 话 、 连 接 、 日 志 、 报 告 功能 ,对 网 
络 进行 实时 监控 ,以 便 及 时 发 现 和 阻止 不 安全 事项 。 








10.3 ABC 广告 公司 基于 防火 墙 系统 
网 络 安全 分 析 与 设计 


10.3.1 项 目 实 施 方案 


【 项目 任务 】 

针对 ABC 广告 公司 内 部 网 络 的 安全 ,配置 安全 策略 对 进出 的 信息 进行 检测 ,满足 公司 
各 部 门 的 需求 ,保护 各 分 部 门 之 间 通 信 的 安全 ,有 利于 公司 更 加 好 的 发 展 , 为 ABC 广告 公司 
设计 与 实施 网 络 防 火 墙 系统 。 

(1) 部 署 网 络 ,并 安装 ISA2006 防火 墙 ,选择 网 络 模型 ,配置 网 络 规则 。 

(2) 防火 墙 堡 佐 主机 的 部 署 与 配置 , 包 过 滤 、 代 理 功能 的 配置 。 

(3) 基于 每 个 策略 的 HTTP 过 滤 ,控制 允许 的 HTTP 方式 FTP 策略 。 

(4) 监视 和 报告 : 可 以 实时 监控 防火 墙 -Web Proxy 和 SMTP 邮件 的 日 志 ; 网 络 安全 
的 实时 监控 和 过 滤 ; 连接 验证 器 ,管理 导入 和 导出 配置 信息 的 能 力 ,简化 了 重复 的 配置 
工作 5 

(5) 定义 缓存 ,缓存 规则 ,并 配置 计划 下 载 作业 ,配置 每 日 的 报告 作业 。 

(6) 配置 VPN 服务 ,以 及 站 到 站 的 VPN 服务 .并 架设 分 公司 进行 VPN 连接 。 

【和 要求 】 

(1) 收集 资料 ,设计 企业 防火 墙 的 功能 及 任务 ; 

(2) 进行 深层 次 的 研究 ,把 该 课题 设计 得 更 加 完善 ; 

(3) 按 任务 需求 完成 各 功能 的 设计 。 

ABC 广告 公司 的 防火 墙 是 公司 信息 的 唯一 出 入 口 .需要 有 较 强 的 抗 攻击 能 力 , 保 证 公 
司 内 部 网 络 的 安全 ,对 外 能 够 阻止 外 部 的 攻击 。 利 用 ISA2006 部 署 防火 墙 系统 架构 ; 应 用 
包 过 滤 和 NAT 等 技术 对 外 部 一 些 敏感 资源 和 主机 进行 控制 .屏蔽 内 部 网 络 结构 ,网 络 地 址 
转换 节约 IP 地 址 ; 拒绝 服务 攻击 保护 内 部 服务 器 的 安全 ,代理 功能 的 配置 ,提高 公司 防火 
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墙 的 防 攻击 能 力 ; 监视 和 报告 ,可 以 实时 监控 防火 墙 \ Web Proxy 和 SMTP 邮件 的 日 志 ; 对 
防火 墙 会 话 进行 实时 监控 和 过 滤 ; 连接 验证 器 。 管 理 导入 和 导出 配置 信息 的 能 力 ,简化 了 
重复 的 配置 工作 ; 对 内 网 进行 优化 ,内 网 之 间 设 置 策略 完善 网 络 。 

在 网 络 安全 保障 的 需求 下 ,设计 防火 墙 系统 。 在 保证 安全 的 任务 下 能 够 处 理 各 项 企业 
事务 的 需要 。 对 网 络 安全 进行 系统 的 管理 ,提高 整个 网 络 活动 的 安全 性 。 本 课题 围绕 企业 
防火 墙 系统 的 设计 与 实现 ,参考 相关 的 资料 ,设计 应 对 企业 管理 的 一 些 功能 。 主 要 利用 ISA 
2006 结合 网 络 管理 和 防火 墙 技术 ,对 于 该 系统 进行 设计 和 开发 。 在 完成 功能 设计 后 ,可 以 
使 防火 墙 系统 具有 提供 信息 安全 服务 ,实现 网 络 和 信息 安全 的 功能 。 


10.3.2 防火 墙 架构 设计 
防火 墙 架构 网 络 拓扑 ,如 图 10-2 所 示 。 


ISA Server 2006 
DMZ 网 络 IP 地 址 范围 
172.16.0.1-172.16.0.254 













VPN 客 户 端 Internet 


内 部 网 络 IP 地 址 范围 
192.168.0.1~192.168.0.254 


内 部 网 络 


图 10-2 网 络 拓扑 2 


10.4 ABC 保险 公司 基于 防火 墙 网 络 安全 分 析 设 计 


10.4.1 项 目 实施 方案 

【 项目 任务 】 

(1) 根据 公司 的 安全 需求 ,设计 适合 公司 的 网 络 防火 墙 需求 方案 。 

(2) 防火 墙 堡垒 主机 的 架设 ,对 防火 墙 服 务 器 要 有 一 定 的 要 求 ; 用 代理 满足 公司 员工 
的 网 络 需求 ; 实现 部 分 员工 的 VPN 需求 ; 针对 公司 Web、FTP 等 服务 器 设置 DMZ 
(Demilitarized Zone. 隔 离 区 ); 实现 内 外 网 络 的 NAT 转换 ; 实现 Web、HTTP 的 过 滤 ; 实 
现 日 志 的 监控 和 分 析 ; 实现 对 防火 墙 配置 的 备份 。 

【和 要求】 

(1) 利用 防火 墙 技 术 , 分 析 及 设计 企业 防火 墙 的 功能 ; 

(2) 进行 深层 次 的 研究 . 趋 于 完善 ; 

(3) 完成 后 进行 调试 ; 

(4) 汇总 报告 。 


= 二 
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研究 的 主要 内 容 如 下 。 





(1) 建立 ABC 保险 公司 的 防火 墙 系统 ,保证 企业 内 部 的 安全 ,实现 企业 对 网 络 应 用 


全 的 管理 。 
(2) 实现 防火 墙 堡垒 主机 的 部 署 与 配置 
(3) 使 用 包 过 滤 、 代 理 功 能 。 
(4) VPN 的 配置 








安 


(5) DMZ 的 配置 等 各 项 防火 墙 技术 ,以 提高 内 网 对 外 网 的 攻击 抵抗 能 力 ( 发 布 Web 服 


务 到 DMZ, 发 布 邮 件 服务 ,发 布 FTP)。 
(6) 内 部 缓存 规则 的 配置 


(7) 防火 墙 的 日 志 监 控 和 防火 墙 策略 备份 ,使 防火 墙 具 有 可 扩充 性 ,不 断 完 善 网 络 的 安 


全 功能 。 
10.4.2 防火 墙 架构 设计 
防火 墙 架构 网 络 拓扑 ,如 图 10-3 所 示 。 


DMZ 区 所 域 < We A 
Zone 


一 个 、 China Telecom 
Web _ Noater VPN 用 户 
Se 
val 
Server lss -村 是 1 
Wever 
FTP 2008 1 


Server 2 a 于 PE 1038.194 RAS Internal Shanghai 
Internal Lan 
10.38.194.0/24 








1 < 念 
RSACN WSUS RSACN DC “RSACN_FILE Office Office 


团 团 团 Workstations JPTS 
1 
RSACN 


| 并 RSACN_ RSACN_ 
JCPROC CITRLX PREMIUM 








10-3 网 络 拓扑 3 


10.5 ABC 证 券 公 司 基 于 防火 墙 网 络 
安全 分 析 与 设计 


10.5.1 项 目 实施 方案 
【项 日 任 务 】 


(1) 建立 ABC 证 券 公司 的 防火 墙 系统 ,保证 企业 内 部 的 安全 ,实现 企业 对 网 络 应 用 安 


全 的 管理 
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(2) 实现 防火 墙 堡垒 主机 的 部 署 与 配置 。 
(3) 使 用 包 过 滤 、 代 理 服务 功能 。 
(4) Back-to-Back 防火 墙 \VPN 服务 器 。 
(5) DMZ 的 配置 等 各 项 防火 墙 技术 ,以 提高 内 网 对 外 网 的 攻击 抵抗 能 力 (发 布 Web 服 
务 到 DMZ 发 布 邮件 服务 ,发布 FTP) 。 
(6) 内 部 缓存 规则 的 配置 。 
(7) 防火 墙 的 日 志 监 控 和 防火 墙 策略 备份 ,使 防火 墙 具 有 可 扩展 性 ,不 断 完 善 网 络 的 安 
全 功能 。 
【和 要求 】 
(1) 利用 防火 墙 技 术 , 分 析 及 设计 防火 墙 的 功能 ; 
(2) 进行 深层 次 的 研究 , 趋 于 完善 ; 
(3) 按 任 务 需 求 完成 各 功能 的 任务 ; 
(4) 完成 后 进行 调试 ; 
(5) 汇总 报告 。 
1. 目的 和 意义 
为 实现 ABC 证 券 公司 内 部 网 络 的 安全 ,进行 安全 分 析 , 并 符合 公司 的 安全 需求 ,对 于 公 
现 有 网 络 拓扑 图 进行 安全 分 析 , 找 出 不 足 并 加 以 改善 ,实现 公司 人 员 VPN 需求 ,实现 公 
DMzZ 的 设置 .代理 服务 功能 的 实现 ,实现 公司 邮箱 服务 器 的 安全 ,实现 公司 堡垒 主机 的 
设置 ,实现 缓存 规划 配置 ,实现 Web HTTP 服务 器 的 需求 ,实现 防火 墙 的 日 志 监 控 和 防火 
者 策略 的 备份 等 。 
针对 ABC 证 券 公司 的 实际 需要 ,设计 适合 公司 的 网 络 防火 墙 。 防 火 墙 主要 利用 ISA 
Server 网 络 防 火 墙 软件 。 通 过 在 ISA Server 上 的 设置 .调试 ,能 够 有 效 地 合理 利用 公司 的 
防火 墙 技术 以 实现 公司 的 网 络 安全 。 
2. 背景 及 国内 外 发 展 情况 
网 络 时 代 各 种 病毒 肆意 而 生 , 不 管 从 个 人 计算 机 或 者 大 到 企业 都 基本 装 有 防火 墙 , 如 今 
防火 墙 的 种 类 也 十 分 多 样 。 有 软件 类 防火 墙 ,更 有 价格 昂贵 的 硬件 型 防火 墙 ,如 今 对 于 安全 
要 求 高 的 计算 机 ,如 金融 业 的 计算 机 , 仅 使 用 网 络 版 杀毒 软件 进行 防护 是 远 远 不 够 的 , 越 来 
越 多 的 企业 已 经 开始 采用 硬件 级 防护 产品 与 之 配合 ,例如 ,网 络 防火 墙 \, 人 侵 检测 系统 等 。 
资料 表明 ,目前 在 互联 网 上 大 约 有 将 近 20% 以 上 的 用 户 曾 经 遭受 过 黑客 的 困扰 。 尽 管 黑客 
如 此 独 狐 ,但 网 络 安 全 问题 至 今 仍 没有 能 够 引起 足够 的 重视 ,更 多 的 用 户 认 为 网 络 安全 问题 
离 自己 尚 远 , 这 一 点 从 大 约 有 40% 以 上 的 用 户 特别 是 企业 级 用 户 没有 安装 防火 墙 可 以 看 
出 。 而 所 有 的 问题 都 证 明 一 个 事实 ,大 多 数 的 黑客 入 侵 事 件 都 是 由 于 未 能 正确 安装 防火 墙 
而 引起 ,因此 ,网络 环境 下 防火 墙 的 应 用 就 显得 愈加 重要 。 
3. 研究 的 主要 内 容 
(1) 根据 公司 的 安全 需求 .设计 适合 的 网 络 防 火 墙 需 求 方 案 。 
(2) 功能 : 防火 墙 堡 驹 主机 的 架设 ; 用 代理 满足 公司 员工 的 网 络 需求 ; 实现 部 分 员工 
的 VPN 需求 ; 针对 公司 Web、 邮 件 .FTP 服务 器 设置 DMZ; 实现 Web、HTTP 的 过 滤 ; 内 
部 缓存 的 规则 配置 ; 实现 对 防火 墙 日 志 的 监控 和 防火 墙 策略 配置 的 备份 ; 系统 监视 。 





到 卉 
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10.5.2 防火 墙 架构 设计 
防火 墙 架构 网 络 拓扑 ,如 图 10-4 所 示 。 





10-4 网 络 拓扑 4 


10.6 ABC 信息 技术 公司 基于 防火 墙 系统 
网 络 安全 分 析 与 设计 


10.6.1 项 目 实施 方案 


【项 日 任务 】 

(1) 部 署 ABC 信息 技术 公司 基于 防火 墙 的 系统 ,实现 公司 网 络 安全 。 
(2) 架设 外 网 Web 服务 器 ,使 内 网 可 以 访问 。 

(3) 架设 DMZ,DNS 与 Web 服务 器 ,使 内 网 可 以 访问 外 网 Web。 

(4) 发 布 内 网 Web 服务 器 ,DMZ 架设 CA 服务 器 ,并 发 布 一 个 SSL Web 服务 器 。 
(5) 按时 间 节 点 开放 用 户 的 即时 通信 软件 ,例如 QQ、 微 信 、Skype 等 。 
(6) 定义 缓存 规则 ,配置 VPN 服务 。 

【和 要求 】 

(1) 利用 所 学 的 防火 墙 技 术 . 分 析 及 设计 企业 防火 墙 的 功能 ; 

(2) 进行 深层 次 的 研究 . 趋 于 完善 ; 

(3) 按 任务 需求 完成 各 功能 的 任务 。 

1. 目的 和 意义 


为 达到 ABC 信息 技术 公司 内 部 网 络 的 安全 ,进行 安全 分 析 , 并 符合 公司 的 安全 需求 ,对 
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于 公司 现 有 网 络 拓扑 图 进行 安全 分 析 ,架设 外 部 网 络 Web 服务 器 ,使 内 网 可 以 访问 ; 架设 
DMZ 的 DNS 与 Web 服务 器 ,使 内 网 访问 外 网 Web; 发 布 内 部 Web 服务 器 以 及 Web 服务 


器 场 ; DMZ 架设 CA 服务 器 ,并 发 布 一 个 SSL Web 服务 器 ; 按时 间 节 点 向 
信 软 件 , 例 如 QQ、 微 信 、Skype 等 ; 定义 缓存 规则 ,配置 VPN 服务 。 





用 户 开放 即时 通 


根据 该 公司 的 实际 需要 ,设计 适合 公司 的 网 络 防火 墙 。 采 取 符 合 相关 要 求 的 防火 墙 策 


略 以 保障 公司 的 网 络 安全 。 
2. 研究 的 主要 内 容 


(1) 根据 安全 需求 ,设计 适合 该 公司 的 网 络 防火 墙 需 求 方案 。 


(2) 功能 : 通过 DMZ 的 服务 器 架设 ,使 公司 内 部 网 络 可 以 安全 地 访问 外 部 网 络 ,并 实 
现 相关 服务 器 的 发 布 ; 通过 制定 防火 墙 相关 策略 ,定时 开放 用 户 的 即时 通信 软件 (QQ 、 微 信 、 
Skype 等 ); 定义 缓存 规则 ; 并 通过 配置 VPN 服务 器 ,实现 公司 员工 的 VPN 安全 登录 功能 。 


3. 拟 解决 的 关键 问题 


(1) 企业 防火 墙 的 安全 需求 全 面 到 位 ; 


(2) DMZ 的 配置 ; 


(3) 防火 墙 系统 访问 控制 策略 的 制定 ; 


(4) 实现 公司 的 远程 用 户 使 用 VPN 访问 公司 内 网 ; 
(5) 防火 墙 日 志 的 监控 、 防 火 墙 策略 的 备份 工作 。 


4, 解决 问题 的 思路 和 方法 


(1) 对 公司 的 现 有 网 络 拓 扑 图 进行 分 析 后 设计 防火 墙 架构 ; 
(2) 进行 防火 墙 安全 分 析 并 制定 防火 墙 设计 方案 ; 


(3) 利用 所 学 防火 墙 知识 来 设计 防火 墙 ,查阅 相关 书籍 文献 及 网 络 资料 ,求助 于 有 相关 





经 验 的 网 络 管理 员 和 老师 。 


10.6.2 ”防火墙 架构 设计 


防火 墙 架构 网 络 拓扑 ,如 





内 部 员工 





图 10-5 所 示 。 


VPN 客 户 端 








外 网 

















内 部 员工 





一 甸 





吕 


内 部 员工 














网 络 管理 员 











图 10-5 





网 络 拓扑 5 





参考 文献 


[1] 吴 秀 梅 . 防火墙 技术 及 应 用 教程 CMJ. 北京 : 清华 大 学 出 版 社 ,2010. 

[2] 汉 元 .计算 机 网 络 安全 基础 CMJ. 北京 : 科学 出 版 社 ,2003. 

[3] 高 永 强 .网络 安全 技术 与 应 用 [LMJ. 北京 : 人 民 邮 电 出 版 社 ,2003. 

[4] 戴 有 炜 .ISA Server 2006 防火 墙 安 装 指南 LMJ. 北京 : 科学 出 版 社 ,2008. 

[5] 韶 慧 . 防火墙 原理 与 技术 /国家 信息 化 安全 教育 认证 (ISEC) 系 列 教材 LM]. 北京 : 机 械 工业 出 版 
社 ,2004. 

[6] 张 栋 , 刘 晓 辉 . 网 络 安 全 管理 实践 (第 3 版 )[MJ. 北京 : 电子 工业 出 版 社 ,2012. 

[7] 黎 连 业 , 张 维 .防火 墙 及 其 应 用 技术 [MJ]. 北京 : 清华 大 学 出 版 社 ,2004. 

[8] 五 淑 华 .计算 机 网 络 安全 基础 CMJ. 北京 人 民 邮 电 出 版 社 ,2008. 

[9] 萧 文 龙 . 企业 网 络 安全 微软 的 ISA Server 防火 墙 [MJ. 北京: 中 国 铁道 出 版 社 ,2001. 

[10] 钟 建 伟 . 基于 防火 墙 与 人 侵 检测 技术 的 网 络 安全 策略 LM]. 武汉 : 武汉 科技 学 院 学 报 ,2004. 





图 书 资源 支持 











mh 








感谢 您 一 直 以 来 对 清华 版 图 











的 支持 和 爱护 。 为 了 配合 本 书 的 使 用 ,本 书 
提供 配套 的 素材 ,有 需求 的 用 户 请 到 清华 大 学 出 版 社 主 页 (http://www. tup. 





















































com.cn) 上 查询 和 下 载 ,也 可 以 拨打 电话 或 发 送 电 子 邮 件 咨询 。 























如 果 您 在 使 用 本 书 的 过 程 中 遇 到 了 什么 问题 ,或 者 有 相关 图 书 出 版 计划 ， 
也 请 您 发 邮件 告诉 我 们 , 以便 我 们 更 好 地 为 您 服务 。 











我 们 的 联系 方式 : 
地 址 : 北京 海淀 区 双 清 路 学 研 大 厦 A 座 707 
邮 编 : 100084 


电 话 : 010 一 62770175 一 4604 





资源 下 载 : http://www. tup.com.cn 


扫 一 扫 
资源 下 载 、 样 书 申 请 
新 书 推荐 .技术 交流 





电子 邮件 : weij@tup.tsinghua.edu. cn 
QQ: 883604( 请 写 明 您 的 单位 和 姓名 ) 


用 微 信 扫 一 扫 右 边 的 二 维 码 , 即 可 关注 清华 大 学 出 版 社 公众 号 " 书 圈 "。 


